جاسوسی تاكسی آنلاین ها از كاربران

به گزارش آنی تل در فیلمی عنوان شده است در حالی كه دو اپلیكیشن تاكسی آنلاین، دسترسی هایی معقول به كاربران خود دارند ولی یك تاكسی آنلاین با تولید دسترسی هایی غیرضروری می تواند گالری، لیست مخاطبان، كارت حافظه و حافظه داخلی گوشی هوشمند كاربر را در اختیار بگیرد. در پی انتشار این فیلم روزنامه ایران سراغ فعالان تاكسی های آنلاین و همینطور كارشناسان امنیت سایبری در مركز ماهر و... رفته و نظر آنان را درباره این فیلم ومیزان دسترسی اپلیكیشن تاكسی های آنلاین به حریم خصوصی كاربران جویا شده است.

فیلمی غلط با تفسیری نادرست
فیلم انتشار یافته در فضای مجازی، در حالی برخی كاربران را نگران كرده است كه «محمد تسلیمی» یكی از كارشناسان امنیت مركز ماهر(مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای)، معتقد است این فیلم تفسیر نادرستی از لحاظ فنی عرضه داده است و محتوا و اظهارنظرهای غلط زیادی در آن دیده می گردد. از نگاه وی، حتی می توان این فیلم را مغرضانه دانست چون شخصی كه بعنوان هكر معرفی شده، تنها با مقایسه ای ساده با اپلیكیشن های دیگر می توانست متوجه شود كه هر اپ برای كاركرد خود، به چه میزان دسترسی از سیستم عامل نیاز دارد و البته مشابه این دسترسی ها را در بیشتر اپلیكیشن های دیگر هم می توان دید. تسلیمی می افزاید: فردی كه این فیلم را عرضه داده، اطلاعات فنی دقیقی روی این مورد نداشته است.
وی خاطرنشان كرد كه در این فیلم، برخی گزینه ها به اشتباه تفسیر شده بعنوان مثال درمورد مكان(location) در فیلم با اشاره به 2 آیتم، عنوان شد كه در یك مورد حتی اگر اپلیكیشن، بسته هم باشد سرور می تواند مكان كاربر را پیدا كند. باید گفت كه این تفسیر كاملاً اشتباه است و درواقع این دو آیتم، دسترسی به مكان تقریبی و آیتم دسترسی به مكان دقیق است كه از دو منبع مختلف تأمین می گردد. بعنوان مثال یكی از این لوكیشن ها ازطریق «جی پی اس» خود گوشی و دیگری از لوكیشن سرویس گوگل عرضه می گردد و درواقع اطلاعات تكمیلی می دهد كه هر اپلیكیشنی كه بخواهد لوكیشن دقیق به شما بدهد مجبور است از هر دوی این سرویس ها استفاده كند.
این كارشناس امنیت مركز ماهر درباره دسترسی اپلیكیشن به حافظه داخلی یا جانبی هم با اشاره به اینكه مركز ماهر در این زمینه بررسی دقیقی انجام نداده است اظهار داشت: هرچند ما هنوز دلیل این دسترسی را نمی دانیم و باید مطالعه شود ولی باید گفت كه نیاز به چنین مجوزی، مبحث عجیب و غیررایجی برای اپ ها نیست. به هرحال هركدام از دسترسی های اپ تاكسی های آنلاین، كاربردی ویژه دارد و توجیه دقیق تر برای وجود آن را باید خود شركت تولیدكننده عرضه دهد.
تسلیمی با اشاره به اینكه توسعه دهنده نرم افزار معمولاً دسترسی ها را در مراحل مختلف كار ممكن است كم و زیاد كند به «ایران» اظهار داشت: نمی توان تنها به صرف وجود یك دسترسی اضافه، قضاوت كرد كه این شركت درحال سوء استفاده است. در مواردی حتی ممكن است در كدنویسی، اشتباهی رخ داده باشد كه این مورد با یك تذكر و اطلاع رسانی حل می گردد.
وی البته در پاسخ به سؤال روزنامه ایران درباره متولی این امر تصریح كرد: هنوز متولی مشخصی در این زمینه وجود ندارد و به طور مستقیم وظیفه ما نیست ولی اگر مركز ماهر به موردی برخورد و صحتش را تأیید كند حتماً تذكر می دهد. تسلیمی البته اضافه كرد: مركز ماهر و سازمان فناوری اطلاعات با مستندات مرجع، الزاماتی را برای ماركت هایی كه این اپ ها را توزیع می كنند، تهیه و تدوین كرده و در این زمینه، جلساتی هم با این تیم ها و شركت ها برگزار و دستورالعمل ها ابلاغ گردیده است كه این موارد هم جزو فرآیند ارزیابی هایی به حساب می آید كه این توزیع كنندگان باید روی اپ هایشان انجام دهند هرچند پیش از این نیزخود شركت ها، سیاست هایی در فرآیندهای امنیتی داشتند. این كارشناس امنیت اطلاعات همینطور عنوان نمود كه برای كاربران هیچ جای نگرانی نیست و فكر نمی كنم هیچ نقض حریم خصوصی صورت گرفته باشد، حتی در نگاه اولیه این دسترسی ها را غیرطبیعی نمی دانم ولی بررسی هایی دقیق تر انجام خواهد شد. وی در انتها از كاربران خواست هرگونه اپلیكیشنی را فقط از مراكز مجاز و ماركت های شناخته شده، دانلود كنند و هیچگاه سراغ سی دی، فلش، كانال های تلگرام و... نروند. تسلیمی همینطور خاطرنشان كرد كه كاربران باید به مبحث آپدیت و به روز رسانی اپلیكیشن ها هم توجه كافی داشته باشند.
امكان غیرفعال سازی دسترسی ها
مدیر روابط عمومی یكی از تاكسی های آنلاین كه با انتشار این فیلم متهم شده است در پاسخ به این افترا اظهار داشت: سامانه هوشمند حمل ونقل ما فقط اطلاعات مربوط به حساب كاربر (از جمله شماره تلفن، آدرس ایمیل و مشخصات هر سفر) را ذخیره می كند و در نسخه اندروید مسافر هم سه نوع دسترسی به موقعیت مكانی، فون و حساب كاربری دیده می گردد. وی در توضیح این دسترسی ها هم تصریح كرد: دسترسی به موقعیت مكانی (Location) برای تعیین دقیق مبدأ مسافر مورد استفاده قرار می گیرد و مسافر هم بعد از تعیین مبدأ خود می تواند موقعیت یاب دستگاهش را خاموش كند. دسترسی به فون(Phone) هم برای راحت كردن عملیات شارژ حساب كاربری با استفاده از كدهای USSD استفاده می گردد. به قول وی، دسترسی به حساب كاربری (Contacts) برای ذخیره استاندارد اطلاعات حساب در گوشی كاربران به كار می رود.
مدیر روابط عمومی این تاكسی آنلاین در ادامه با اشاره به اینكه گوگل از اندروید ۶به بعد، امكان فعال یا غیرفعال كردن دسترسی های هر اپلیكیشن را در اختیار كاربرانش قرار داده است، اظهار داشت: ازاین رو فعال یا غیرفعال سازی دسترسی های اپلیكیشن، به طور مستقیم از جانب كاربران صورت می گیرد و ما دخالتی در آن نداریم. هر سه مورد این دسترسی، اختیاری بوده و برای راحت تر كردن كار با اپلیكیشن مربوطه است و كاربران با غیر فعال كردن آنها همچنان می توانند از اپلیكیشن ما استفاده كنند. وی ادامه داد: اپلیكیشن تاكسی آنلاین ما به هیچ عنوان به حافظه داخلی، گالری، لیست مخاطب ها، شماره تلفن ها، اطلاعات حساس و سایر اپلیكیشن های گوشی مسافران خود دسترسی ندارد و تنها بعضی از اطلاعات سفر كاربران در دیتاسنترهای امن و به صورت كاملاً محرمانه ذخیره سازی می گردد. این اطلاعات هم طبقه بندی شده و فوق محرمانه هستند و دسترسی لایه لایه به آنها وجود دارد.
این مدیر روابط عمومی همینطور خاطرنشان كرد كه بزودی در نسخه جدید نرم افزار مسافران این امكان عرضه می گردد كه دسترسی به تاریخچه سفر كاربران تنها با استفاده از رمز عبوری (Pin Code) كه خودشان در اپ تعریف می كنند امكان پذیر باشد.
مقابله نادرست كسب وكار سنتی با آنلاین
به دنبال انتشار این فیلم، علیرضا رمضانی مدیر روابط عمومی یكی دیگر از تاكسی های آنلاین به «ایران» اظهار داشت: نرم افزار ما به لحاظ فنی به اطلاعات كاربران دسترسی ندارد و درحقیقت می توان گفت این سیستم عامل اندروید است كه دسترسی های كلی را در گوشیهای هوشمند خود قرار داده است و اپلیكیشن ها می توانند دسترسی های خویش را محدودتر از آنچه هست، بكنند. شركت ما هم دسترسی به اطلاعات را بسیار محدود كرده و درواقع به حداقل اطلاعات مورد نیاز كاربران و رانندگان دسترسی دارد به طوری كه با نبود این اطلاعات، بخش فنی دچار اختلال می گردد. وی ادامه داد: تاكسی آنلاین ما تنها از بخش دسترسی به لوكیشن ها استفاده می كند ازاین رو به هیچ وجه به حریم شخصی و خصوصی كاربران دسترسی ندارد.
مدیر روابط عمومی این شركت تاكسی آنلاین با اشاره به اینكه انتشار چنین فیلم هایی صرفاً برای تولید اختلال در روند فعالیت كسب و كارهای نوین است، اظهار داشت: از زمانی كه كسب و كارهای آنلاین و تكنولوژی های جدید وارد بازار شده اند، كسب و كارهای سنتی، آنها را رقیب خود می دانند و احساس خطر می كنند. به هرحال وقتی تكنولوژی وارد كسب و كار می گردد تغییر بازار كار غیرممكن است و این طبیعت تكنولوژی است. رمضانی اضافه كرد: درباره تاكسی های آنلاین هم همین اتفاق افتاده است از وقتی تكنولوژی وارد كار حمل و نقل داخل شهری شده است نه تنها هزینه ها را كاهش داده است بلكه سیستم را هم بهینه كرده و اشتغالزایی را به دنبال داشته است ولی این مورد به مذاق خیلی ها خوش نیامده و برخی به كارشكنی می پردازند.
ضرورت وجود آزمایشگاه های ارزیابی
درباره انتشار این فیلم سراغ یكی دیگر از كارشناسان امنیت سایبری رفتیم. «امید توكلی» طراح و راهبر راهكارهای امنیت اطلاعات و عملیات هم در این باره اظهار داشت: فیلمی كه انتشار یافته است با دسترسی هایی كه در نسخه فعلی این تاكسی آنلاین وجود دارد، متفاوت است. از این رو به نظر می رسد این كلیپ روی نسخه های قدیمی تر آن تهیه شده است. وی ادامه داد: قبلاً این اپلیكیشن دسترسی های بیشتری روی گوشیها تعریف كرده بود كه در نسخه فعلی و به روزرسانی شده، دیگر وجود ندارد. توكلی اضافه كرد: اكنون دسترسی به فایل ها وجود ندارد، ولی اگر فرض كنیم كاربران یا راننده ها نیاز دارند كه عكس پروفایل آنها روی اپلیكیشن آپلود شود، باید اپ دسترسی به مدیا و فایل ها وجود داشته باشد ولی این لزوماً به معنای جاسوسی اپ از فایل های كاربر نیست.
وی در ادامه اظهار داشت: عملاً برنامه نویس اپ، دسترسی های مورد نیاز اپ را تعریف كرده و از اندروید می گیرد. نكته بسیار مهم این است كه به ساز و كار ارزیابی و بررسی دسترسی ها و صدمه پذیری های اپ های پركاربرد هم نیاز داریم ولی متأسفانه هنوز زیرساخت آنها در كشور مهیا نشده است، به عبارتی نیازمند وجود آزمایشگاه هایی هستیم كه كار آنها ارزیابی و تأیید امنیتی اپ های گوشیهای هوشمند باشد.
این طراح و راهبر راهكارهای امنیت اطلاعات و عملیات با اینكه دسترسی های اپ ها در زمان نصب به كاربر نشان داده می شود، اظهار داشت: اگر كاربر آموزش دیده باشد، می تواند اجازه یا عدم اجازه دسترسی ها را با عنایت به كاربرد اپ تنظیم كند مثلاً من به شخصه دسترسی های این تاكسی های آنلاین را غیرفعال كردم، ولی اپ همچنان كار می كند. توكلی به كاربران سفارش كرد برای حفظ حریم خصوصی و اطلاعات در زمان نصب اپ به دسترسی هایی كه اپ از آنها اجازه می گیرد توجه داشته باشند و در عین حال از نصب اپ ها از منابع غیرقانونی اجتناب كرده و در گوشیهای خود ضد بدافزار نصب كنند.
یك كارشناس امنیت سایبری دیگر هم با رد این مورد كه دسترسی های اپلیكیشن های مختلف ازجمله تاكسی های اینترنتی به سیستم عامل اندروید بازمی گردد به «ایران» اظهار داشت: اگر اندروید بخواهد به این مقوله وارد شود اصلاً معنای امنیت و حریم خصوصی از بین می رود. درواقع كسی كه اپ را می نویسد این دسترسی ها را تعریف می كند كه بعنوان مثال به گالری، مكان شخص، مخاطبان و... دسترسی داشته باشد. از نگاه این كارشناس، درواقع اندروید یك سیستم عامل و بستر است و كسی كه برنامه می نویسد روی این بستر، دسترسی ها را مشخص می كند و كاربران هم می توانند هنگام نصب به این اجازه های دسترسی جواب مثبت یا منفی بدهند.
وی البته اشاره كرد كه گاه اگر این دسترسی ها را كاربر نپذیرد عملاً نمی تواند اپلیكیشن را نصب كند كه در این صورت باید در مراحل بعد بعنوان مثال در گالری خود تصاویر مهم و خاص را ذخیره نكند تا مشكلی پیش نیاید. این كارشناس اضافه كرد: برای برنامه های پركاربرد كه در كشور مورد استفاده قرار می گیرد حتماً باید سازمان هایی ازجمله وزارت ارتباطات، اپ استورها(فروشگاه های توزیع كننده این برنامك ها) كه متولی این بحث هستند نظارت بر مبحث داشته باشند ولی گاه این فروشگاه ها چندان راغب نیستند به این حوزه ورود كنند چون می گویند مسئولیت به خود سازنده اپ بازمی گردد. وی در انتها خاطرنشان كرد: این فیلم اخطار خوبی برای 3 ذینفع یعنی كاربر، مسئولان نظارت بر این مورد و هم شركت های عرضه دهنده این سرویس هاست تا امكان هر مشكلی به حداقل برسد.
ضرورت حفظ حریم خصوصی
موضوع سوء استفاده اپلیكیشن های مختلف از كاربران، موضوعی نیست كه مختص ایران باشد وآن را می توان یك دغدغه جهانی دانست. در همین راستا اخیرا خبری منتشر گردید كه نشان می داد بیشتر برنامه های اندرویدی بعد از نصب، از كاربران خود جاسوسی كرده و اطلاعات خصوصی آنها را بررسی می كنند. طبق این گزارش، بخش اعظم برنامه های اندرویدی حاوی ابزار ردگیری و كنترل فعالیت های كاربران هستند. ازاین رو نصب این برنامه ها برای افراد تبعات امنیتی دارد. از نگاه محققان حاضر در این گزارش، هدف اصلی از این نوع جاسوسی ها شناسایی سلایق و علایق كاربران به منظور ارسال تبلیغات و آگهی های دیجیتال مرتبط برای هر فرد است.
براساس بررسی یادشده از هر چهار برنامه اندرویدی، سه برنامه به ابزار ردگیری و كنترل كاربران مجهز هستند و البته بیشتر مشتریان از این امر آگاه نیستند. گفتنی است كه این مشكل حتی در برنامه های فروشگاه گوگل پلی هم وجود دارد و برنامه هایی مانند اسپاتیفای، اوبر، OKCupid و تیندر هم اطلاعات خصوصی كاربران را جمع آوری می كنند.
البته باید گفت كه تاكسی های آنلاین كه خود بخشی از این اپلیكیشن ها محسوب می شوند برای رفع هرگونه شبهه ای تلاش های متعددی داشته اند. بعنوان مثال یكی از شركت های تاكسی آنلاین در جهت امن تر كردن سفرهای خود و ارج نهادن به حریم خصوصی كاربرانش (اعم از مسافر و راننده) از سیستم جدیدی به نام «پنهان سازی شماره تلفن» رونمایی كرده است كه این قابلیت از شهر مشهد شروع شده و در آینده ای نزدیك در سایر شهرهای محل فعالیت شركت اجرایی می گردد. نكته حائز اهمیت در مورد مزیت پنهان سازی شماره تلفن در سفر با سرویس های آنلاین این است كه این امكان كمك شایانی به حفظ حریم خصوصی كاربران می كند و گام مهمی در جهت امنیت سفرهای درون شهری به حساب می آید. 23302

1396/09/09

22:32:40

5.0 / 5

5758

تگهای خبر: آنلاین , اپل , اپلیكیشن , اندروید

این مطلب را می پسندید؟

(1)

(0)

تازه ترین مطالب مرتبط

نظرات بینندگان آنی تل در مورد این مطلب

نظر شما در مورد این مطلب

نام:

ایمیل:

نظر:

سوال:

= ۶ بعلاوه ۳