تسلط بر اندروید و ios چطور غرب را قادر به ردیابی دانشمندان ایرانی می‌کند؟

به گزارش خبرگزاری آنا؛ تلفن‌های هوشمند در زندگی فعلی بشر به دریچه‌ای به زندگی شخصی کاربران تبدیل شده‌اند و سیستم‌عامل‌ها، نگهبانان این داده‌های حساس هستند. با این حال، نحوه مدیریت و محافظت از این اطلاعات توسط غول‌های فناوری، همواره موضوعی چالش‌برانگیز بوده است.

پرسش اصلی اینجاست که این سکو‌های قدرتمند چگونه و تا چه حد به حریم خصوصی کاربران احترام می‌گذارند و آیا جایگزین‌های بومی می‌توانند امنیت و حاکمیت داده‌های شهروندان را به طور واقعی تضمین کنند؟ برای واکاوی این موضوع، بار دیگر پای صحبت‌های «محمدرضا رازیان»، متخصص و پژوهشگر سیستم‌های اندرویدی نشسته‌ایم. 

این کارشناس حوزه فناوری با اشاره به وابستگی شدید برنامک‌های پرکاربرد به خدمات شرکت‌های خارجی، هشدار می‌دهد که این وابستگی می‌تواند منجر به رصد دقیق و دائمی موقعیت و رفتار کاربران ایرانی شود. به گفته وی، حتی در شرایطی که سیگنال‌های ماهواره‌ای در دسترس نباشند، مکانیزم‌های پیچیده‌ای برای رهگیری مکان افراد فعال می‌شوند.

رازیان تأکید می‌کند که طراحی یک سیستم‌عامل بومی با استاندارد‌های امنیتی بالا، نه یک انتخاب، که یک ضرورت ملی برای حفاظت از داده‌های حساس کاربران در برابر سوءاستفاده‌های احتمالی است.

آناتک در ادامۀ این گزارش به تحلیل دقیق‌تر مکانیزم‌های مکان‌یابی، سیاست‌های نقض حریم خصوصی در برنامک‌های خارجی و همچنین چالش‌های حقوقی موجود در کشور برای محافظت از داده‌های کاربران می‌پردازد. آنچه در ادامه می‌آید، گفته‌های این پژوهشگر سیستم‌های اندرویدی دربارۀ چگونگی حفاظت از داده‌های کاربران ایرانی در سیستم‌عامل بومی است.

ردیابی کاربران خاص بدون استفاده از GPS با تسلط بر سیستم‌عامل

محمدرضا رازیان در پاسخ به این پرسش که یک برنامه تاکسی‌اینترنتی در فضای بسته چگونه موقعیت کاربر را تشخیص می‌دهد، توضیح داد: پاسخ به این پرسش را با یکی از کارکرد‌های سیستم‌عامل اندروید که دارای سرویس خدمات مکانی شرکت گوگل باشد ارائه می‌دهم. فرض کنید در محوطه مسقف باغ کتاب تهران هستید چگونه برنامک تاکسی اینترنتی در گوشی، موقعیت مکانی‌تان را تشخیص می‌دهد در صورتی که سیگنال ماهواره‌ای مکان‌یابی (GNSS) وجود ندارد؟ در این شرایط (زیر سقف، درون برج‌ها)، از روش‌های شبکه‌ای (بر خلاف ماهواره‌ای) برای بدست‌آوردن موقعیت مکانی استفاده می‌شود.

تهدیدات امنیتی و ضرورت طراحی سیستم‌عامل بومی با قابلیت‌های محافظتی

این پژوهشگر سیستم‌های اندرویدی با تشریح جزئیات بیشتر افزود: روش‌های شبکه‌ای (Network-based) یعنی از داده‌های شبکه‌ای جهت تخمین موقعیت مکانی استفاده می‌شود. این داده‌ها شامل (و نه محدود به) شناسه دکل‌های مخابراتی، شناسه مودم وای‌فای یا دستگاه‌های بلوتوث (در محدوده پوشش) است. طبق مستندات، گوگل در تلاشی چندساله، ساز و کاری طراحی کرده است که داده‌های مذکور را از کاربران جمع‌آوری کند؛ بنابراین شرکت آمریکایی گوگل می‌داند کاربران در هر لحظه کجا هستند (با دقت بالا). 

وی در ادامه تصریح کرد: کاربرد دیگر این خدمت موقعیت مکانی، در سرویس Find my device در زمان مفقودی گوشی است. خوب مزایای این فناوری مشخص است تهدیدات آن هم به همین ترتیب قابل حدس خواهد بود.

این پژوهشگر سیستم‌های اندرویدی در ادامه هشدار داد: تهدید زمانی ایجاد می‌شود که از این داده‌های ذخیره شده در جهت مخرب نظیر یافتن موقعیت مکانی شهروندان مثلاً دانشمندان، صنعتگران و طرح‌ریزی حوادث بدخواهانه استفاده شود. سیستم‌عامل بومی با رعایت طراحی اصولی با قابلیت‌های محافظت از داده‌ها و الگوریتم‌های رمزنگاری به‌روز و مقاوم می‌تواند امنیت داده‌های کاربران ایرانی را فراهم کند (بدیهی است تلاش‌های غیراصولی و غیرحرفه‌ای در این زمینه، چه داخلی و چه خارجی، خود می‌تواند منجر به تهدید شود).

سوء استفادۀ شرکت‌ها از تسلط بر سیستم‌عامل برای تبلیغات هدفمند

رازیان در پاسخ به پرسش مربوط به تفاوت سیاست‌های حریم خصوصی، به ارائه مثال‌های عینی پرداخت و گفت: سیستم‌عامل‌ها و برنامه‌های امروزی در حال دریافت سلایق و ذائقه‌های مخاطبان برای انتشار محتوای هدفمند و در مواقعی بازاریابی هدفمند هستند. مشاهده می‌کنید «شیائومی ویدئو» در برگه‌ای اختصاصی، به صورت دائمی، به پخش ویدئو از سراسر وب مشغول است. این در صورتی است که ماهیت برنامک ویدئو در گوشی، پخش ویدئو‌هایی است که کاربر آگاهانه آن‌ها بارگیری کرده است؛ اما در مثال برنامک ویدئوی شیائومی، کاربر در معرض حجم انبوهی از ویدئو‌ها قرار می‌گیرد (رفتاری که ما در شبکه‌های اجتماعی می‌بینیم). مثالی دیگر، پخش تبلیغات در گوشی‌های شیائومی، در برنامک‌های سیستمی (که کاربر امکان حذف آن‌ها را ندارد) است. همۀ مثال‌های مورد اشاره ورود به حریم شخصی کاربر است.

وی در ادامه با اشاره به خلأ قانونی جدی در کشور تصریح کرد: متأسفانه در زمینه حریم خصوصی... بنده اعتقاد دارم تلاش‌های انجام شده در کشور هنوز به الزام قانونی و مسئولیت‌پذیری کسب و کار‌ها منجر نشده است. در این سال‌ها مشاهده کرده‌ایم که داده‌های کاربران در برخی شرکت‌های خصوصی یا دولتی ایرانی مورد هک و نفوذ قرار گرفته‌اند، اما مسئولیت‌پذیری و پاسخگویی لازم از سوی کسب و کار صورت نپذیرفته است.

رازیان در پایان این گفتگو بیان کرد: بنابراین در پاسخ به این پرسش که چه تفاوت‌هایی در سیاست‌های حریم خصوصی بین سیستم‌عامل بومی و نمونه‌های خارجی وجود دارد باید عرض کنم در ایران عدم وجود چارچوب قانونی شفاف و ضمانت اجرایی قوی برای حفاظت از داده‌های کاربران در برابر شرکت‌های داخلی چالش اصلی است، در حالی که در نمونه‌های خارجی مثلاً اروپا قانون GDPR وجود دارد، اما کاربر ایرانی نمی‌تواند از این راه حقوق خود را محافظت کند.