ارسال اطلاعات کاربران ایرانی به «شاتل» توسط «ویسپی» و نگرانی از نقض حریم‌خصوصی

دی ۱۲, ۱۳۹۶

 

به روز رسانی:

(مقاله زیر در تاریخ ۲۷ دی ۱۳۸۶ به روز شد)

هدف کمپین حقوق بشر در ایران(CHRI)  ترویج و حفاظت از حقوق بشر در ایران است از جمله حق حریم خصوصی. در دستیابی به این هدف، در تاریخ دوم ژانویه ۲۰۱۸، کمپین مطلبی چاپ کرد با عنوان «ارسال اطلاعات کاربران ایرانی به «شاتل» توسط «ویسپی» و نگرانی از نقض حریم‌خصوصی».

در تاریخ ۱۵ دی‌ماه ۱۳۹۶، سه روز بعد از انتشار مقاله کمپین، ویسپی اصلاحاتی به اپلیکشین خود را اعلام کرد. این اصلاحات به نظر میرسد که رمزگذاری (اس.اس.ال) اطلاعات را در جریان انتقال اطلاعات از سمت کاربر به سرورها در ایران فعال کرد. این بهبودبخشی یک اقدام مثبت است. اگرچه ما همچنان نگران حقوق حریم خصوصی کاربران ویسپی در ایران هستیم. نگرانی ما ریشه در این حقیقت دارد که ویسپی از سرورهای درون ایران استفاده میکند. این سرورها به اطلاعات خصوصی کاربران دسترسی دارند و در شبکه ای هستند که توسط شاتل کنترل می شود، یکی از کمپانیهای اصلی اینترنتی که یکی از شرکای شبکه ملی اطلاعات (ان.ای.ان) است.

برای ایجاد اطمینان با کاربران ایرانی، ویسپی باید در خصوص توافقات امنیتی و حفاظت‌های مرتبط با حریم خصوصی شفافیت لازم را ارائه کند. ویسپی باید یک بیانیه عمومی صادر کند و طبیعت رابطه خود را با شاتل توضیح دهد و همچنین توضیح دهد که چگونه از اطلاعات و ارتباطات کاربران خودش در ایران حفاظت می کند.

 

این جارت در سایت وزارت ارتباطات نشان میدهد شرکت شاتل یکی از بازیگران اصلی در شبکه ملی اطلاعات است. http://ito.gov.ir/documents/20181/0/cards.zip/ae04d77a-05b2-4ff2-bcfd-c6923a0b9f19

 

این ترافیک اپلیکیشن ویسپی در داخل ایران است که با نرم افزار وایرشاک تهیه شده نشان میدهد که در نسخه جدید رمزگذاری وجود دارد اما هنوز اطلاعات به شاتل ارسال میشود.

 

(مقاله اولیه که در ۱۲ دی ۱۳۸۶ منتشر شد)

تحقیقات کمپین در خصوص اطلاعات ارسالی و دریافتی در اپلیکیشن ویسپی نشان می‌دهد نسخه موجود این پیام رسان در کافه‌بازار و گوگل‌پلی اطلاعات خود را به دیتاسنتر‌های شرکت شاتل که یک شرکت‌‌های بزرگ ارائه خدمات اینترنتی در ایران است، ارسال می‌کند.  این شرکت در پاسخ به سوال کمپین حقوق بشر در ایران در خصوص نحوه حفاظت از اطلاعات خصوصی کاربران با توجه به ارسال و دریافت اطلاعات کاربران که در داخل ایران انجام می‌شود گفت که اطلاعات کاربران را «با هیچ نهاد دولتی به اشتراک نخواهیم گذاشت.»

از تاریخ ۱۱ دی ۱۳۹۶ و پس از آنکه ایران در تاریخ ۱۰ دی تلگرام را فیلتر کرد برخی از کاربران ایرانی به استفاده از این اپلیکیشن اقدام کرده‌اند.

در پاسخ به پیگیری‌های کمپین شرکت ویسپی تصریح کرد: «ما هیچ تماسی با آنها[مقامات دولت ایران] نداشتیم و یا اطلاعات کاربران خود را با هیچ نهاد دولتی به اشتراک نخواهیم گذاشت. ما سیاست‌های حریم خصوصی سخت‌گیرانه‌ای داریم که به صورت عمومی در وب‌سایت ما موجود است».

محمود واعظی وزیر ارتباطات روز ۲۷ تیر ماه در جلسه مجمع عمومی فراکسیون نمایندگان ولایی مجلس با اعلام این که پلتفرم چهار شبکه اجتماعی بومی از جمله «ویسپی» آماده شده است، گفت: «برخی از این شبکه‌ها تعداد کاربرانشان بیش از دو میلیون نفر است، منتظریم اگر کاربران این شبکه‌ها به بیش از سه میلیون نفر افزایش یافت، اجازه تبلیغات به آنها بدهیم و اگر از پنج میلیون نفر فراتر رفت، اجازه فعالیت مالی به آنها خواهیم داد.»

تحقیقات کمپین بر روی نسخه‌ای از این اپلیکیشن در کافه بازار نشان می‌دهد این اپلیکیشن اطلاعات خود را به صورت غیر رمز شده به نشانی متعلق به شرکت شاتل ارسال می‌کند. نصب این نسخه از ایپلیکیشن در یک محیط آزمایشگاهی و بررسی مسیر رفت و برگشت بسته‌های اطلاعاتی این اپلیکشن نشان می‌دهد که این اپلیکیشن اطلاعات خود را به نشانی آی‌پی ۱۸۵٫۷۳٫۲٫۱۵ متعلق به شرکت شاتل ارسال و دریافت می‌کند.

کمپین در تاریخ ۶ آذر ۱۳۹۶ از طریق ایمیل مدارکی را که ارسال اطلاعات این اپلکیشن به داخل ایران و شرکت شاتل را نشان می‌داد به شرکت ویسپی ارسال کرد که در پاسخ شرکت ویسپی به کمیپن گفت: «ما از استاندارد‌های جهانی و بهترین روش‌های رمزگذاری مانند TLS که در بانکداری و ارتباطات امن مانند وی.پی.ان استفاده می‌شود برای ارتباط با سرور‌های خود استفاده می‌کنیم که همیشه رمزشده هستند.»

ویسپی در ادامه پاسخ خود نوشت: «به نظر می‌رسد تصویری که شما ارسال کردید از یک دستگاه هک‌شده/روت شده، استفاده کرده که از روش مرد میانی(MITM) استفاده کرده است. بیشتر اپلیکشن‌ها و سرویس‌های محبوب جهانی می‌توانند قربانی چنین روش‌های باشند. به هر صورت آنچه که اکثر شرکت‌ها از جمله خود ما انجام می‌دهیم، تلاش برای شناسایی کرد، قطع کردم و نگهداری اطلاعات تمام اتصال‌های مخرب و مشکوک(که محرمانه به حساب می‌آیند) است. تا کاربران خود را حفاظت کنیم. چنین اقداماتی اطلاعاتی را که شما مشاهده [در تصویر ارسالی] می‌کنید را به وجود می‌آورد.»

ترافیک این اپلیکیشن که در محیط آزمایشگاهی توسط کمپین ذخیره و بررسی شده است نشان می‌دهد رمز و سایر اطلاعات کاربر بدون هیچ نوع رمزگذاری در حال انتقال است. کمپین برای انجام آزمایش این از دستگاه روت شده استفاده نکرده است و همچنین از تکنیک حمله مرد میانی نیز استفاده‌ نشده است.

نتیجه برسی ترافیک ارسالی و دریافتی از اپلیکیشن ویسپی نسخه موجود در کافه بازار نشان می‌دهد اطلاعات این اپلیکیشن به شنانی‌هایی متعلق به شرکت شاتل فرستاده می‌شود.

نتیجه بررسی ترافیک ارسالی و دریافتی از اپلیکیشن ویسپی نسخه موجود در کافه بازار نشان می‌دهد اطلاعات این اپلیکیشن به نشانی‌های متعلق به شرکت شاتل فرستاده می‌شود.

تمام فرایند ثبت نام کاربر جدید و فعالیت‌های یک کاربر نمونه را با استفاده از ابزار‌های آزمایش و کنترل ترافیک شبکه که امکان تحلیل پکت‌های ارسالی و دریافتی شبکه را فراهم می‌کند دریافت است که تمام اطلاعات این کاربر نمونه که در فضای اینترنت ایران فعالیت می‌کرد به دیتاسنتر‌هایی در شرکت شاتل ارسال می‌شود.

ویسپی در بخش دیگری از پاسخ خود به کمیپن نوشته است: «سیاست‌های ما در حوزه حریم خصوصی کاملا مشخص و به صورت عمومی در دسترس است. ما اطلاعات کاربران خود را با هیچ نهاد دولتی به اشتراک نخواهیم گذاشت. اطلاعات خصوص کاربران، شامل چت‌ها، همیشه در دستگاه‌ آنها باقی خواهد ماند، با وجود این ما در حال کار بر روی راه حلی هستیم تا کاربران ویسپی را قادر سازد نسخه‌ پشتبان اطلاعات خود را بتوانند به صورت مستقیم در ابرهایی مانند اپل، گوگل، دراپ‌باک و سایر فضا‌های ابری مشابه ذخیره کنند.»

این پیام‌رسان پیش از این در تاریخ ۱۱ اسفند ۱۳۹۵ در حساب توییتر خود اعلام کرده بود که ایران وب‌سایت این اپلیکیشن را فیلتر کرده است، اما بررسی‌های کمپین نشان می‌دهد وب‌سایت این شرکت از فیلتر خارج شده و بدون نیاز به هیچ فیلترشکنی در دسترس کاربران ایرانی است. مشخص نیست که از چه زمانی فیلتر این وب‌سایت برداشته شده است.

تحقیقات کمپین همچنین نشان می‌دهد تمام اطلاعات ارسالی و دریافتی به صورت متن ساده (Plain Text) یعنی بدون رمزگذاری ارسال و دریافت می‌شود که به این معنی است که به صورت بالقوه می‌تواند امنیت و حریم خصوصی کاربرانی که از این اپلیکیشن استفاده می‌کنند را با خطر مواجه کند. این امکان وجود دارد که مقامات امنیتی و قضایی ایرانی می‌توانند با کنترل ترافیک کاربران این اپلیکیشن به تمام مکاتبات آنها دسترسی داشته باشند. با این حال، ارسال و دریافت اطلاعات کاربران به سرور‌هایی که در داخل ایران نگهداری می‌شوند به این معنی است که این امکان وجود دارد که اطلاعات و مکاتبات کاربران در آنها ذخیره و بازیابی خواهد شد که به صورت مستقیم در دسترس مقامات امنیتی و قضایی ایران قرار دارد.

طی ماه‌های گذشته مقامات ایرانی به ویژه دبیر شورای عالی فضای مجازی و وزیر ارتباطات و فن‌آوری اطلاعات، تلاش بسیار زیادی را کردند تا کاربران ایرانی را متقاعد کنند تا از نسخه‌های ایرانی اپلیکیشن‌های پیام‌رسان‌ها استفاده کنند اما همیشه موضوع عدم اعتماد به حفض حریم خصوصی کاربران مانع از آن شده است تا اعتماد لازم و کافی برای استفاده از مخصولات داخلی ایران و یا آن دسته از اپلیکیشن‌هایی که مورد حمایت حکومت ایران است، به وجود آید.

به عنوان نمونه ابوالحسن فیروزآبادی دبیر شورای عالی فضای مجازی در تاریخ ۳۰ آبان ۱۳۹۶ با انتقاد از وب‌گردی ناشناس در اینترنت و «بیش از حد» خواندن ناشناسی کاربران ایرانی گفت: «ما برای مقابله با این گمنامی[ناشناسی در اینترنت] در حال اقدام هستیم.» او اضافه کرد: «گاهی اوقات این گمنامی در فضای مجازی فردی است ولی در حقیقت قابل قبول نیست به این دلیل که فرد می‌تواند لطمه‌ی حیثیتی، اقتصادی، سیاسی یا امنیتی بزند.»

 

مطالب مرتبط

Share this
Send this to a friend