⚠️ آزمایشگاه امنیت بنیاد فناوریهای باز (OTF) در دو دوره زمانی، دسامبر 2023 و اکتبر 2024، سه اپلیکیشن پیامرسان ایرانی #ایتا ، #روبیکا و #بله را مورد بررسی قرار داد تا ادعاهای امنیتی آنها را ارزیابی کند. نتایج این بررسیها نشان داد که هیچکدام از این اپلیکیشنها از رمزنگاری سرتاسری (E2EE) استفاده نمیکنند. رمزنگاری سرتاسری به این معناست که فقط فرستنده و گیرنده پیام میتوانند محتوای پیام را ببینند، اما در این اپلیکیشنها چنین محافظتی وجود ندارد.
🏳 علاوه بر این، مشخص شد که سرورهای این اپلیکیشنها فعالیت کاربران را زیر نظر دارند و اطلاعاتی درباره وبسایتهایی که کاربران بازدید میکنند، جمعآوری میکنند.
👁 بازرسان یک بررسی چند مرحلهای انجام دادند. مرحله اول در دسامبر 2023 انجام شد و شامل بررسی کد اپلیکیشنها بدون اجرای آن (تحلیل استاتیک) و مهندسی معکوس بود. هدف این مرحله این بود که روشهای رمزنگاری و مسائل مربوط به حریم خصوصی کاربران بررسی شود. در این مرحله، بازرسان روی دو سؤال اصلی تمرکز کردند:
1. آیا اپلیکیشنها از رمزنگاری سرتاسری (E2EE) برای پیامهای کاربران استفاده میکنند، همانطور که ادعا شده است؟
2. آیا مشکلات امنیتی یا حریم خصوصی مهمی برای کاربران این اپلیکیشنها وجود دارد؟
🔄 مرحله دوم در اکتبر 2024 انجام شد و شامل بررسی رفتار اپلیکیشنها در زمان اجرا (تحلیل پویا) بود. این مرحله برای تأیید نتایج مرحله اول انجام شد. بازرسان در این مرحله خطرات امنیتی را هم در نظر گرفتند، مثلاً اینکه استفاده از شماره تلفن افراد برای آزمایش اپلیکیشنها ممکن است آنها را در معرض خطر قرار دهد. در این مرحله، چند موضوع مهم بررسی شد:
1. رمزنگاری: اپلیکیشنها از چه نوع رمزنگاری استفاده میکنند؟
2. امنیت ارتباطات: آیا ارتباطات بین این اپلیکیشنها امن است؟ و چه نوع رمزنگاری برای این ارتباطات استفاده میشود؟
3. ارسال اطلاعات خصوصی: آیا اپلیکیشنها به طور غیرمنتظرهای اطلاعات کاربران (مثل موقعیت مکانی یا میکروفون) را فعال یا ارسال میکنند؟
4. تغییرات نسبت به تلگرام: دو اپلیکیشن از کد تلگرام استفاده میکنند. این اپلیکیشنها چقدر شبیه تلگرام هستند و چه تغییراتی در آنها ایجاد شده است؟
5. استفاده از هوش مصنوعی: روبیکا ادعا میکند که از هوش مصنوعی برای تحلیل تصاویر (مثل شناسایی زنانی که حجاب ندارند) استفاده میکند. آیا شواهدی وجود دارد که این کار روی دستگاه کاربران انجام میشود؟
6. مشکلات امنیتی: آیا اپلیکیشنها مشکلاتی در طراحی یا پیادهسازی دارند که هکرها بتوانند از آنها سوءاستفاده کنند؟
🏳 علاوه بر این، مشخص شد که سرورهای این اپلیکیشنها فعالیت کاربران را زیر نظر دارند و اطلاعاتی درباره وبسایتهایی که کاربران بازدید میکنند، جمعآوری میکنند.
👁 بازرسان یک بررسی چند مرحلهای انجام دادند. مرحله اول در دسامبر 2023 انجام شد و شامل بررسی کد اپلیکیشنها بدون اجرای آن (تحلیل استاتیک) و مهندسی معکوس بود. هدف این مرحله این بود که روشهای رمزنگاری و مسائل مربوط به حریم خصوصی کاربران بررسی شود. در این مرحله، بازرسان روی دو سؤال اصلی تمرکز کردند:
1. آیا اپلیکیشنها از رمزنگاری سرتاسری (E2EE) برای پیامهای کاربران استفاده میکنند، همانطور که ادعا شده است؟
2. آیا مشکلات امنیتی یا حریم خصوصی مهمی برای کاربران این اپلیکیشنها وجود دارد؟
🔄 مرحله دوم در اکتبر 2024 انجام شد و شامل بررسی رفتار اپلیکیشنها در زمان اجرا (تحلیل پویا) بود. این مرحله برای تأیید نتایج مرحله اول انجام شد. بازرسان در این مرحله خطرات امنیتی را هم در نظر گرفتند، مثلاً اینکه استفاده از شماره تلفن افراد برای آزمایش اپلیکیشنها ممکن است آنها را در معرض خطر قرار دهد. در این مرحله، چند موضوع مهم بررسی شد:
1. رمزنگاری: اپلیکیشنها از چه نوع رمزنگاری استفاده میکنند؟
2. امنیت ارتباطات: آیا ارتباطات بین این اپلیکیشنها امن است؟ و چه نوع رمزنگاری برای این ارتباطات استفاده میشود؟
3. ارسال اطلاعات خصوصی: آیا اپلیکیشنها به طور غیرمنتظرهای اطلاعات کاربران (مثل موقعیت مکانی یا میکروفون) را فعال یا ارسال میکنند؟
4. تغییرات نسبت به تلگرام: دو اپلیکیشن از کد تلگرام استفاده میکنند. این اپلیکیشنها چقدر شبیه تلگرام هستند و چه تغییراتی در آنها ایجاد شده است؟
5. استفاده از هوش مصنوعی: روبیکا ادعا میکند که از هوش مصنوعی برای تحلیل تصاویر (مثل شناسایی زنانی که حجاب ندارند) استفاده میکند. آیا شواهدی وجود دارد که این کار روی دستگاه کاربران انجام میشود؟
6. مشکلات امنیتی: آیا اپلیکیشنها مشکلاتی در طراحی یا پیادهسازی دارند که هکرها بتوانند از آنها سوءاستفاده کنند؟