شایعه جاسوسی بودن تیک تاک؛ آیا اپلیکیشن رمزگذاری شده امنیت دارد؟

آیا در شرایطی که “داده‌ها” مهم‌ترین فاکتور در شبکه‌های اجتماعی بزرگ هستند، می‌توان اطلاعات شخصی را با اطمینان در اختیار یک اپلیکیشن رمزگذاری شده قرار داد؟

در طول هفته‌های گذشته، اپلیکیشن تیک تاک (TikTok) با مشکلات امنیت خاصی مواجه شد. ابتدا در کشور هند بود که تیک تاک به همراه ۵۸ اپلیکیشن چینی دیگر به انتقال مخفیانه و غیرقانونی داده‌های کاربران متهم شدند. بعدا مشخص شد که این داده‌ها توسط دولت ترامپ بر ضد روابط مخفیانه آمریکا و چین مورد استفاده قرار می‌گیرد و به همین دلیل کارمندان Wells Fargo و Amazon اجازه استفاده از این برنامه را نداشتند و در ادامه خبری منتشر شد که اصلا از اول قرار نبوده است چنین ممنوعیت‌هایی در استفاده از تیک تاک اعمال شود.

در حالی که خبر جمع‌آوری داده‌ها توسط تیک تاک به دلایل سیاسی مختلف منتشر نمی‌شود، انتقادات شدیدی مبنی بر جاسوسی بودن این برنامه برای حزب کمونیست چین وجود دارد. تحقیقاتی در این زمینه نشان می‌دهد که برنامه تیک تاک از نظر امنیت و حریم خصوصی مثل برنامه‌های Western است و ماجرای رسوایی  Facebook–Cambridge Analytica می‌تواند واضح‌ترین مثال در این زمینه باشد.

تا اینجای بحث می‌توان گفت که داده‌ها مهم‌ترین فاکتور برای اپلیکیشن‌های بزرگ هستند اما آیا این مساله در مورد یک اپلیکیشن رمزگذاری شده هم صدق می‌کند؟

سطح امنیت یک اپلیکیشن رمزگذاری شده

امنیت سایبری در حوزه بلاک چین و ارز دیجیتال همچنان یک نقطه ضعف بزرگ به حساب می‌آید. هر سال مشاهده می‌شود که هکرها موفق می‌شوند پول‌های زیادی را از اکسچنج‌های ارز دیجیتال و یا سرمایه‌گذاران ناآگاه بدزدند و جالب اینجاست که ماهیت این تکنولوژی اجازه می‌دهد هویت آن‌ها همچنان مخفی بماند.

البته در مورد جمع‌آوری داده‌ها، مساله کمی متفاوت است. بر خلاف هک کردن، این موضوع در محدوده خاکستری از مقررات قرار دارد و کمی پیچیده‌تر است. داده‌های خصوصی (Pricvate data) یک اصطلاح انتزاعی است و معمولا کاربران در هنگام دانلود و نصب یک اپلیکیشن، با قوانین و شرایط آن موافقت می‌کنند. با این وجود آن‌ها نمی‌دانند که اجازه دسترسی به چه نوع اطلاعاتی را به این اپلیکیشن می‌دهند و در اکثر مواقع این دسترسی‌ها به جز ایمیل و موقعیت مکانی، به چیز‌های دیگری هم هست.

Hartej Sawhney مدیرعامل و هم‌بنیان‌گذار آژانس امنیت سایبری Zokyo Labs در یک مکالمه ایمیلی با Cointelegraph گفت:

اپلیکیشن‌های موبایلی در زمینه تبلیغات هدفمند، بسیار دقیق و یکپارچه عمل می‌کنند. اپلیکیشن‌های زیادی هستند که حتی وقتی در حال استفاده نباشند هم به فعالیت می‌پردازند. حتی نگرانی‌هایی هم در زمینه اپلیکیشن‌هایی که به میکروفن گوشی دسترسی دارند وجود دارد.

در همین راستا اخیرا مساله مشابهی در صرافی بایننس رخ داد. در اوایل همین ماه، یکی از کاربران توییتر Sherpa یک اسکرینشات از اجازه‌ دسترسی‌هایی که اپلیکیشن اندروید این صرافی بزرگ از کاربران می‌خواست را منتشر کرد. این اجازه‌ها برای دسترسی به دوربین و میکروفن بود. در همان زمان، مسئول امنیت بایننس به Cointelegraph گفت که اجازه دسترسی به دوربین برای فرایند احراز هویت (KYC) مورد استفاده است و تاکید کرد که:

برنامه‌ای که توسط شرکت بایننس توسعه داد شده، تحت هیچ عنوانی از میکروفن گوشی استفاده نمی‌کند.

در ادامه مدیرعامل این صرافی، آقای Changpeng Zhao اعلام کرد که از تیم توسعه‌دهنده خواسته است که کد برنامه را بازبینی کنند و برای Cointelegraph شفاف‌سازی کرد که اجازه دسترسی به میکروفن از برنامه بایننس حذف می‌شود و سایر دسترسی‌های ضروری، برای راحتی خیال کاربران، در کمترین حد ممکن باقی خواهند ماند.

او همچنین لیست اجازه‌های دسترسی نسخه جدید اپلیکیشن بایننس را منتشر کرد که در مقایسه با تصویر منتشر شده توسط Sherpa به نظر می‌رسد موضوع حریم خصوصی بیشتر رعایت شده است. علاوه بر این آقای ژائو تاکید کرد که:

بایننس تحت هیچ عنوانی داده‌های کاربران را نمی‌فروشد و اطلاعات احراز هویت را حتی در اختیار تحلیلگران بلاک چین هم قرار نمی‌دهد.

جمع‌آوری داده و تاثیرات پایین بودن امنیت

طبق صحبت‌های اخیر آقای ژائو، اپلیکیشن‌هایی که به داده‌های کلیپ‌بورد کاربران دسترسی دارند، بزرگترین خطر امنیتی به حساب می‌آیند و می‌توانند به کلید‌های خصوصی دست پیدا کنند. بیشتر اپلیکیشن‌های رمزگذاری شده که اجازه دسترسی به اطلاعات مهم را می‌خواهند، در حالی که شما به آن‌ها اعتماد می‌کنید به راحتی قادرند سرمایه شمار را بدزدند. در همین راستا Harry Halpin مدیرعامل شرکت امنیتی Nym Technologies در صحبت با Cointelegraph تایید کرد که:

هر سرویس تصدی‌گری به راحتی می‌تواند ارز دیجیتال شما را بدزدد.

یکی از ریسک‌های اصلی هر اپلیکیشن رمزگذاری شده ارز دیجیتال و به ویژه کیف پول‌ها، به سرقت رفتن کوین‌هاست. Alex Heid محقق ارشد و کارشناس توسعه شرکت امنیت اطلاعات SecurityScorecard در صحبت با Cointelegraph اضافه کرد:

می‌دانیم که مهاجم‌ها از بدافزارها برای نفوذ به نقاط ضعف موجود در برنامه‌های اجتماعی استفاده می‌کنند تا به اطلاعات کلیدهای خصوصی کاربران سهل‌انگار دست پیدا کنند. نمونه این اتفاقات در گذشته زیاد رخ داده است. مثل مشکل وحشتناکی که در فروشگاه‌های اپلیکیشن‌ موبایل (App stores) وجود دارد یا حمله به کیف پول‌های Copay از طریق باگ امنیتی که در کتابخانه جاوا اسکریپت در سال ۲۰۱۸ وجود داشت و یا حمله به سرورهای ارسال پیام الکتروم در سال ۲۰۱۹.

آیا یک اپلیکیشن رمزگذاری شده عموما امن‌تر هستند؟

آیا یک اپلیکیشن‌ رمزگذاری شده از لحاظ جمع‌آوری داده‌ها با سایر برنامه‌های بزرگ فرق دارد؟ متخصصان در این حوزه نظرهای متفاوتی دارند. Heid argued معتقد است:

ماهیت یک اپلیکیشن رمزگذاری شده بسیار مشابه سایر اپلیکیشن‌های مالی است. در اکثر آن‌ها از کاربر خواسته می‌شود تا اطلاعات شناسایی خود را برای پروسه احراز هویت و سیاست ضد پولشویی (KYC/AML) ارائه دهد. مواردی در گذشته اتفاق افتاده است که هکرها با نفوذ به سرویس‌های ارز دیجیتال به این اطلاعات شناسایی مهم دست پیدا کرده‌اند.

Matt Senter هم‌بنیان‌گذار و کارشناس ارشد اپلیکیشن رمزگذاری شده جایزه‌دهی بیت کوین Lolli به Cointelegraph گفت:

در اپلیکیشن‌های بیت کوین نسبت به سایر اپلیکیشن‌ها، انگیزه بیشتری برای دروغ و کلاهبرداری و دزدی وجود دارد. کاربران باید نسبت به همه نوع اپلیکیشن‌ها آگاه باشند.

به گفته Halpin، اصلا باید تعجب کرد اگر هدف برنامه‌های مخرب و جاسوسی بیشتر متوجه اپلیکیشن‌های ارز دیجیتال نباشد؛ چون این اپلیکیشن‌ها با ارز دیجیتال و پول طرف هستند. او اضافه می‌کند که:

با ارسال ارز دیجیتال به یک دفتر کل عمومی، هر کسی می‌تواند تراکنش شما را ردیابی کند.

Brian Kerr مدیر عامل پلتفرم وام‌دهی Kava Labs در مصاحبه با Cointelegraph اشاره کرد که:

من بیشتر نگران داده‌های به اشتراک گذاشته شده از اپلیکیشن‌های فین تک مانند Robinhood و اپلیکیشن‌های ارتباط تجاری مثل Zoom هستم تا اینکه نگران اپلیکیشن‌های معاملات کریپتویی باشم.

چطور ایمن بمانیم؟

سوال اینجاست که چطور به صورت ایمن از یک اپلیکیشن رمزگذاری شده استفاده کنیم؟ Senter بر این باور است زمانی که می‌خواهیم از اپلیکیشن‌های صنعتی استفاده کنیم و یا با دارایی‌های دیجیتال سر و کار داریم، داشتن اطلاعات پایه‌ای در مورد ارزهای دیجیتال یک ضرورت است. او به عنوان مثال به اتفاقی که اخیرا در توییتر افتاد اشاره کرد که:

کاربرانی که درکی از نحوه عملکرد شبکه بیت کوین ندارند، تمام دارایی‌شان در خطر است. در اتفاق هک شدن توییتر دیدیم که مردم گول خوردند و به راحتی دارایی‌هایشان را تقدیم چند کیف پول تصادفی کردند. این چنین است که حتی یک اپلیکیشن غیر بیت کوینی مثل توییتر در اثر عدم آگاهی می‌تواند باعث از دست رفتن دارایی‌ها شود.

طبق گفته Senter اپلیکیشن‌هایی که رابط کاربری مناسبی برای راهنمایی کاربران در طول فرایند تایید تراکنش‌ها ندارند، یک حس ناامنی و در خطر بودن سرمایه‌ها را القاء می‌کنند. همچنین یک سری موارد ظاهری وجود دارد که با توجه کردن به آن‌ها و افزایش دانش نسبت به بیت کوین، مشکلات کمتری رخ خواهد داد.

با این وجود، تقریبا این امکان برای کاربر وجود ندارد که تمام نکات حریم خصوصی و امنیتی یک اپلیکیشن را بررسی کند و Halpin از NYM Technologies در این باره می‌گوید:

توسعه‌دهندگان در بیشتر مواقع باور دارند که چیزی که ساخته‌اند بسیار امن است ولی خراب‌کاری می‌کنند.

او همچنین نسبت به این فرضیه که برنامه‌های غیرمتمرکز امروزی امنیت بیشتری در مقایسه با راه‌حل‌های توسعه‌یافته کمپانی‌های متمرکز دارند، به شدت شک دارد و می‌گوید:

آیا اعتماد کردن به یک سری کاربر تصادفی ایمن‌تر است یا اعتماد به فقط یک واسط یا شخص ثالث؟ برای اینکه غیرمتمرکزسازی واقعا عملی شود، به روابط قابل اعتمادتر و غیرمتمرکز واقعی نیاز است. بیشتر چیزی که من در فضای بلاک چین می‌بینم، یک تاتر غیرمتمرکز است.

Halpin در نهایت این طور نتیجه‌گیری می‌کند که بهتر است از توصیه‌ سرویس‌های واسط (شخص ثالث) معتبر مثل آکادمی‌ها و کمپانی‌های صنعتی استفاده کنید؛ چرا که آنها سابقه خوبی در شناسایی و رفع ایرادات و نقاط ضعف خود دارند تا سرمایه‌ها و اطلاعات شخصی کاربرانشان در امان باشد.