آیا استفاده از پیامرسانهای ایرانی خطرناک است؟
گزارش جدیدی درباره امنیت سه پیامرسان محبوب داخلی در ایران، یعنی ایتا، روبیکا و بله، نشان داده است که این پلتفرمها ایمن نیستند و امکان رصد کاربران در آنها وجود دارد.
این در حالی است که مدیران این پیامرسانها همواره بر امنیت بالا و استفاده از رمزگذاری در خدمات خود تأکید کردهاند.
براساس این گزارش، آزمایشگاه امنیتی صندوق فناوری باز (OTF) در دو مرحله وضعیت امنیتی این پیامرسانها را بررسی کرده است. در فاز اول که در دسامبر ۲۰۲۳ انجام شد، تحلیل ایستا و مهندسی معکوس بهمنظور بررسی روشهای رمزگذاری و مسائل حریم خصوصی صورت گرفت. در فاز دوم که در اکتبر ۲۰۲۴ اجرا شد، رفتار برنامهها در حین اجرا ارزیابی شد. نتایج این آزمایشها نشان داد که هیچیک از این پیامرسانها از رمزگذاری سرتاسری (E2EE) برای حفاظت از پیامها استفاده نمیکنند.
در هر سه اپلیکیشن، زمانی که کاربران روی لینکهایی در پیامها کلیک میکردند، آدرس اصلی به سرور ارسال میشد و این فرایند به سرورها امکان نظارت بر وبسایتهایی که کاربران مشاهده میکردند را میداد. همچنین در روبیکا، ترافیک رمزگذارینشده کشف شد که میتواند اطلاعات حساسی مانند رمز عبور یا دادههای شخصی کاربران را در معرض خطر قرار دهد.
بررسیها نشان داد در ایتا، پیشنویس پیامها به سرورها ارسال میشود و تاریخچه پیامها نیز قابل استخراج است. در بله، دادههای مکانی کاربران در زمان احراز هویت ارسال شده و از نوعی رمزنگاری استفاده میشود که بازگشایی آن آسان است.
نکته جالب توجه این است که ایتا و روبیکا بر اساس کد منبع یکی از نسخههای تلگرام ساخته شدهاند، در حالی که این دو پلتفرم مدعی هستند توسط برنامهنویسان داخلی توسعه یافتهاند.
بهرغم این مشکلات امنیتی، سیاستهای دولتهای اخیر، از جمله محدودیت اینترنت و فیلترینگ گسترده، برخی کاربران را به استفاده از این پیامرسانها سوق داده است. خدمات ضروری مانند ثبتنام دانشگاه، آموزش مدارس و بانکداری به این اپلیکیشنها منتقل شده است. طبق آخرین آمار، روبیکا ۴۴.۷ میلیون، ایتا ۳۰.۵ میلیون، و بله ۱۳ میلیون کاربر ثبتشده دارند.