طی هفتههای اخیر و بهخصوص پس از فیلتر شدن تلگرام در ایران، دولت و مسئولین مختلف ایران تشویق به استفاده از اپلیکیشنهای داخلی کردهاند؛ پیامرسانهایی مانند سروش، ویسپی، بیسفون یا آیگپ.
در این میان دلیل اصلی استفاده از اپلیکیشن ایرانی به جای نسخههای خارجی آن مانند تلگرام را رعایت حریم خصوصی و امنیت اطلاعات کاربران ایرانی اعلام کردهاند.
با توجه به این دست ادعاها از سوی مسئولین ایران و همچنین سخنان مختلف محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، سوال اساسی این است که آیا اپلیکیشنهای داخلی و بهخصوص سروش، دارای امنیت کافی و همچنین حافظ حریم خصوصی کاربران هستند یا خیر.
آیا اپلیکیشنهای داخلی مانند سروش امن هستند؟
هر چند که به عنوان یک محقق امنیت دیجیتال آنقدرها طرفدار پاسخ قطعی نیستم -چون امنیت سایبری نسبی است– اما از نگاه من اپلیکیشنهای داخلی امنیت آنچنانی ندارند و کاربران ایرانی باید با چشمان کاملا باز از این اپلیکیشنها استفاده کنند. برای این پاسخ قطعیام نیز دلایلی مختلفی دارم که در زیر به دو مورد مهم آنها اشاره میکنم:
۱- اپلیکیشنهای داخلی به صورت مستقل از نظر امنیت تایید و بررسی نشدهاند:
یکی از نکات ابتدایی در توسعه هر وبسایت و یا سرویس آنلاین آن است که این سرویسها باید از نظر امنیت دیجیتال مورد آزمونهای مختلفی قرار بگیرند تا به این صورت حفرهها و مشکلات مختلف آنها پیدا و رفع شوند. حال آنکه براساس آنچه که به صورت عمومی منتشر شده است، هیچ کدام از اپلیکیشنهای داخلی به صورت مستقل از نظر امنیت مورد بررسی و تایید قرار نگرفتهاند هر چند که تمامی این اپلیکیشنها از امن بود کامل سرویسهایشان حرف میزند که در مورد این ادعا باید به ضربالمثل «هیچ ماستفروشی نمیگوید ماست من ترش است» اشاره کرد.
۲- اپلیکیشنهای داخلی از رمزنگاری نقطه به نقطه یا End-to-end پشتیبانی نمیکنند:
دومین نکته در مورد اپلیکیشنهای داخلی آن است که این اپلیکیشن از رمزنگاری End-to-end پشتیبانی نمیکنند. این بدان معناست که اگر یک مقام، سازمان و یا دولت ایران به سراغ این اپلیکیشنها برود، به راحتی میتواند تمام مکالمات کاربر –از متن گرفته تا عکس و ویدیو – را بهدست بیاورد و در صورت نیاز علیه کاربر مورد استفاده قرار دهد.
شاید در اینجا این سوال مطرح شود که تلگرام نیز به صورت پیشفرض از این ویژگی حمایت نمیکند، پس چرا در مورد تلگرام چنین حرفی را نمیزنم. در پاسخ باید بگویم که سرورهای تلگرام در کشورهایی قرار دارند که برای دسترسی به آنها نیاز به گذراندن یک سری فرآیند قانونی است در حالی که در ایران ما چنین فرآیندی را نداریم و افراد با یک تلفن ساده و داشتن رابطه با مسئولین مختلف میتوانند این فرآیند قانونی را دور بزنند.
آیا اپلیکیشنهای داخلی حافظ اطلاعات و حریم خصوصی کاربران هستند؟
مانند سوال قبل، باید گفت که اپلیکیشنهای داخلی و بهخصوص سروش برخلاف آنچه ادعا میکنند به هیچ عنوان و تحت هیچ شرایطی به حریم خصوصی کاربران احترام نمیگذارند؛ مشهودترین مثال در این زمینه ثبتنام کاربران در این اپلیکیشن بدون آنکه روح کاربران از آن خبر داشته باشد است!
در صورتی که شما تاکنون عضو اپلیکیشن سروش نشدهاند، تنها کافی است به اینجا بروید و شماره تلفن همراه خود را وارد کنید تا ببینید که آیا سروش بدون اطلاع شما یک حساب کاربری برایتان باز کرده است یا خیر!
حریم خصوصی
در روز ۲۵ می ۲۰۱۸ (۴ خرداد ۱۳۹۷) با اجرای قانون حفاظت از اطلاعات در اروپا (GDPR) که تمام شرکتها و سازمانهایی که با اطلاعات کاربران اروپایی سروکار دارند باید در مورد چگونگی استفاده از اطلاعات کاربران شفاف باشند. وزیر ارتباطات ایران در توییتی به کمیسیون اتحادیه اروپا در این زمینه تبریک گفت، در حالی که هم اکنون اگر اپلیکیشن سروش در اتحادیه اروپا بود، بین ۵ تا ۲۰ میلیون یورو جریمه میشد زیرا بدون اجازه کاربران آنها را عضو سرویس آنلاین خود کرده است.
وزیر ارتباطات و فناوری اطلاعات در حالی حرف از دفاع از حریم خصوصی کاربران میزند که تاکنون هیچ واکنشی –حتی در حد یک توییت– در مورد نقض حریم خصوصی و دسترسی غیرمجاز به اطلاعات کاربران نشان نداده است.
در نهایت باید گفت که با فرض اینکه تمام موارد بالا از سوی اپلیکیشنهای داخلی رعایت شوند، همچنان یک ایراد بزرگ وجود خواهد داشت و آن عدم اجرای قانون در ایران است. قوانینی که نشود آنها را دور زد و از اطلاعات خصوصی کاربران حفاظت کند.
در واقع بهتر است این را در نظر گرفت: اگر میخواهید از اپلیکیشنهای داخلی استفاده کنید باید فرض کنید هر آنچه در این اپلیکیشنها منتشر و پست میکنید، توسط سازمانها و نهادهای داخل ایران قابل دسترس و خوانده شدن است و انگار شما در خیابان در حال فریاد زدن پیام خود هستید!