بررسیهای آزمایشگاه امنیتی «صندوق فنآوری باز» نشان میدهد که به رغم ادعاهای مقامات جمهوری اسلامی، هیچکدام از سه پیامرسان داخلی «روبیکا»، «بله» و «ایتا» در ایران از امنیت لازم برخوردار نیستند و حریم خصوصی کاربران را نقض میکنند.
این بررسیها که بین ماههای دسامبر سال ۲۰۲۳ تا اکتبر ۲۰۲۴ انجام شده نشان میدهد هیچیک از این سه پیامرسان از سیستم «رمزگذاری مبدأ به مقصد» که تنها افراد دو طرف ارتباط را قادر به خواندن پیامها میکند استفاده نمیکنند.
سخنگوی این سازمان به بخش فارسی صدای آمریکا گفت که در هر سه پیامرسان داخلی، گذرگاه تبادل پیام بین پیامرسانها (امایکسبی) شناسایی کردند که تحت کنترل دولت است یعنی این احتمال وجود دارد که اینسرورها به هر پیامی که از طریق این اپلیکیشنها ارسال میشوند اجازه رهگیری و خواندن بدهند.
این سخنگو افزود که در هر سه پیامرسان داخلی، هنگامی که کاربران روی آدرسهای اینترنتی در پیامهایی که برایشان ارسال میشد کلیک کنند، حتی اگر از «ویپیان» استفاده کنند به سرور پشتیبان برنامه هدایت میشدند و این سرورها میتوانند وبسایتهایی را که در پیامرسانها مشاهده میشوند نظارت کنند.
بازرسان «صندوق فنآوری باز» این موضوع را «مکانیزمی برای سانسور و نظارت» توصیف کردهاند.
سخنگوی این سازمان به صدای آمریکا گفت این سه پیامرسان ارزیابیشده داخلی برای خدمات دولتی ضروری هستند اما به کاربران ایرانی توصیه کرد تا راههایی را که استفاده از این برنامهها میتواند امنیت دیجیتالی آنها را به خطر اندازد به خوبی درک کرده و در صورت امکان از گزینههای ایمنتر و محافظ حریم خصوصی به عنوان جایگزین استفاده کنند تا در برابر نظارت حکومتی محافظت شوند.
این سخنگو تأکید کرد که کاربران برای نیازهای ارتباطی میتوانند از گزینههای امن قابل دسترس شامل «سیگنال با استفاده از پروکسی ضد سانسور»، «سِشِن»، «وایِر» و «دلتا چَت» استفاده کنند.
بازرسان «صندوق فنآوری باز» این نتایج را پس از یک بررسی چند مرحلهای منتشر کردند که فاز نخست آن در دسامبر سال ۲۰۲۳ انجام شد و تمرکزش بررسی استفاده این برنامهها از سیستم رمزگذاری مبدأ به مقصد بر اساس ادعاهای مقامات جمهوری اسلامی بود.
فاز دوم، که در اکتبر سال ۲۰۲۴ انجام شد، شامل تجزیه و تحلیل پویا بر اساس رفتار پیامرسانها حین استفاده بود تا یافتههای فاز اول را تأیید کند.
بازرسان در این فاز، خطری را که پیامرسانها برای افرادی که از شماره تلفنشان استفاده شده است نیز بررسی کردند.
در مورد «روبیکا»، انتقال ترافیک به همه دامنهها بدون رمزگذاری و درنظرگرفتن امنیت کاربر، به هر کسی که شبکه را نظارت میکند اجازه میدهد تا دادههای حساس مانند پسوورد یا اطلاعات شخصی را رهگیری کرده و بخواند.
در مورد اپلیکیشن «بله»، از یک فرم رمزگذاری استفاده میشود که به راحتی میتواند در زمینه رمزگذاری دادههای کارتهای اعتباری معکوس شود و موقعیت کاربر در حین احراز هویت به سرور برنامه ارسال میشود.
در رابطه با «ایتا» اگر کسی دسترسی فیزیکی به تلفن کاربر داشته باشد میتواند تمام دادههای برنامه را دانلود کند که ممکن است شامل پیامهای رمزگذاری نشده و اطلاعات شخصی درباره تماسها باشد.
«صندوق فنآوری باز» یک سازمان غیرانتفاعی مستقل است که با هدف ترویج آزادی جهانی اینترنت و مقابله با سانسور و نظارت حکومتهای سرکوبگر از طریق اینترنت راهاندازی شده است و بیشتر بودجه خود را از دولت آمریکا میگیرد.
