روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اپ‌های زوج‌یابی بناست افراد را با هم آشنا نموده و موجبات سرگرمی را فراهم کنند؛ مسئولیت آن‌ها حفاظت از داده‌های شخصی کاربران نیست. متأسفانه وقتی صحبت از سرویس‌های زوج‌یابی به میان می‌آید همیشه نگرانی‌هایی در مورد حریم خصوصی و امنیت وجود دارد. تاتیانا شیشگوا تحلیلگر ارشد بدافزار در شرکت کسپرسکی در کنفرانس  MWC21 گزارشی ارائه داد از امنیت آنلاین اپ زوج‌یابی. در ادامه به بررسی نتیجه‌گیری‌های او در خصوص مطالعاتی که روی حریم خصوصی و امنیت محبوب‌ترین سرویس‌های زوج‌یابی آنلاین انجام داده است خواهیم پرداخت. با ما همراه شوید.

امنیت اپ زوج‌یابی: در این چهار سال چه چیزهایی تغییر کرد؟

متخصصین ما پیشتر تحقیقی مشابه انجام داده بودند. آن‌ها در سال 2017 بعد از تحقیق روی 9 سرویس محبوب به این نتیجه‌گیری رسیدند که اپ‌های زو‌ج‌یابی از حیث انتقال امن داده‌های کاربری و نیز ذخیره‌سازی و قابلیت‌ دسترسی‌اش به سایر کاربران بسیار آسیب‌پذیرند. در ادامه به تهدیدهای اصلی که در گزارش سال 2017 فاش شد می‌پردازیم:

•         از این نه اپ بررسی‌شده، شش تای آن‌ها لوکیشن کاربر را مخفی نکرده بودند.
•         چهار اپ پیدا کردن نام واقعی کاربر و پیدا کردن اکانت‌های شبکه اینترنتی آن‌ها را ممکن ساخته بودند.
•         چهارتای آن‌ها به بیگانگان اجازه داده بودند داده‌های فورواردشده‌ی اپ را که می‌توانست حاوی اطلاعات حساسی باشد رهگیری کنند.

ما تصمیم گرفتیم نحوه تغییر امور را در سال 2021 بررسی کنیم: تمرکز ما روی این 9 اپ محبوب زوج‌یابی است: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn  و Her.

این جریان از سال 2017 به اینطرف تغییرات جزئی کرده است زیرا بازار زوج‌یابی آنلاین هم خود دستخوش تغییرات کمی شده است. این یعنی اپ‌هایی که بیش از همه استفاده شده‌اند در طول این چهار سال کمترین تغییر را کرده‌اند.

امنیت انتقال داده و ذخیره‌گاه

در طول چهار سال گذشته، وضعیت انتقال داده بین اپ و سرور به طور فاحشی پیشرفت کرده است. نخست اینکه هر نه اپی که این بار بررسی کردیم به رمزگذاری مجهزند. دوم اینکه همه مکانیزم مقابله با حملات اسپوف را دارند: بدین‌معنا که اگر گواهی جعلی را کشف کنند انتقال داده را لغو می‌کنند. Mamba در ادامه هشداری را نمایش می‌دهد مبنی بر اینکه کانکشن ناامن است. در مورد داده‌های ذخیره‌شده روی دستگاه کاربر هم باید بگوییم هنوز مهاجم بالقوه می‌تواند با در دست داشتن حقوق ابرکاربر (روت) بدان‌ها دسترسی داشته باشد. با این حال این سناریو بسیار دور از ذهن است. علاوه بر این دسترسی روتی که به دست مهاجمین بیافتد باعث می‌شود دستگاه بی‌دفاع شود و سرقت داده از یک اپ زوج‌یابی آنوقت می‌شود از خرده مشکلات یک قربانی!

پسورد ایمیل‌شده در متن آشکار[1]

از نه اپ تحت بررسی دو تای آن‌ها –یعنی همان Mamba و Mamba- پسورد کاربر تازه ثبت‌نام کرده را در متن آشکار میل می‌کند. از آنجایی که بسیاری از افراد به خود زحمت تغییر پسورد (فوراً پس از ثبت‌نام) نمی‌دهند و همیشه سر مسائل امنیتی کاهلی می‌کنند این نمی‌تواند روش خوبی باشد. با هک میل کاربر یا رهگیری خود ایمیل، مهاجم بالقوه می‌تواند پسورد را بدست آورده و از آن برای دسترسی به اکانت نیز استفاده کند (مگر آنکه البته احراز هویت دوعاملی در اپ زوج‌یابی فعالسازی شده باشد).

عکس پروفایل اجباری

یکی از مشکلات سرویس‌های زوج‌یابی این است که اسکرین‌شات‌های مکالمات یا پروفایل‌های کاربران می‌تواند برای مقاصد شرورانه مورد استفاده قرار گیرد. متأسفانه از این نه اپ تنها یکی‌شان (اسمش Pure است) به شما اجازه می‌دهد پروفایلی بدون عکس دست کنید؛ همچنین قابلیت اسکرین‌شات را نیز غیرفعال می‌سازد. دیگری که Mamba نام دارد گزینه رایگان تار کردن عکس را در اختیار کاربر قرار می‌دهد. این قابلیت به شما اجازه می‌دهد تا فقط عکس‌های خود را به کاربرانی که انتخاب می‌کنید نشان دهید. برخی از اپ‌های دیگر هم همین قابلیت را ارائه می‌دهند اما نه رایگان.

اپ‌های زوج‌یابی و شبکه‌های اجتماعی

همه اپ‌های مربوطه –جدا از Pure- به کاربران اجازه می‌دهند با یک اکانت شبکه مجازی ثبت‌نام کنند که بیشتر منظورمان پلت‌فرم فیسبوک است. در حقیقت، این تنها گزینه‌ای است برای آن دسته از افرادی که نمی‌خواهند شماره خود را با اپ درمیان بگذارند. با این حال اگر اکانت فیسبوکتان خیلی جدید باشد یا دوستان کمی در آن داشته باشید شاید مجبور شوید شماره تلفن خود را ارائه دهید. مشکل اینجاست که بیشتر اپ‌ها به طور خودکار عکس‌های پروفایل فیسبوک خود را به اکانت جدید کاربری می‌کشانند و این لینک شدن اکانت اپ زوج‌یابی با یک اکانت رسانه‌ی اجتماعی را موجب می‌شود آن هم فقط بواسطه‌ی چند تا عکس. افزون بر این، بسیاری از اپ‌های زوج‌یابی به کاربران اجازه می‌دهند (حتی بهشان توصیه می‌کنند که) پروفایل‌های خود را به سایر شبکه‌های اجتماعی و سرویس‌های آنلاین لینک بدهند؛ برای مثال اینستاگرام یا اسپاتیفای. بدین‌ترتیب عکس‌های جدید و موزیک‌های مورد علاقه را می‌شود به طور خودکار به پروفایل اضافه کرد. و گرچه هیچ راه مطمئنی برای شناسایی اکانتی در سرویسی دیگر وجود ندارد، اما اطلاعات پروفایل اپ زوج‌یابی به طور قطع می‌تواند کمک کند فردی روی وبسایت‌های دیگر پیدا شود.

لوکیشن، لوکیشن، لوکیشن

شاید بحث‌برانگیزترین جنبه‌ی اپ‌های زوج‌یابی در بیشتر موارد، لوکیشن باشد. از نه اپی که بررسی کردیم تیندر، بامبل، هپن و هِر دسترسی ژئولوکیشن را اجباری کرده بودند. سه تای آن‌ها به شما اجازه می‌دهند به طور دستی مختصات دقیق خود را به منطقه کلی تغییر دهید اما این قابلیت تنها در نسخه‌ی پولی وجود دارد. Happn چنین گزینه‌ای ندارد اما نسخه پولی به شما اجازه می‌دهد مسافت بین خود و سایر کاربران را مخفی کنید. Mamba, Badoo, OkCupid, Pure و Feeld دسترسی به لوکیشن را اجباری نکرده‌اند و به شما اجازه می‌دهند به طور دستی حتی در نسخه پولی هم لوکیشن خود را مشخص کنید. اما این اپ‌ها طوری طراحی شده‌اند که خودکار مختصات شما را شناسایی می‌کنند. خصوصاً در مورد Mamba توصیه نمی‌کنیم دسترسی به داده‌های ژئولوکیشن بدهید زیرا این سرویس می‌تواند مسافت شما را با دیگران با دقت وحشتناکی شناسایی کرده: حتی یک متر!

در کل اگر کاربری به اپ اجازه دهد مجاورت او با کاربر دیگر نمایش داده شود از اینجا به بعدش دیگر برای مجرمین سایبری کاری ندارد با برنامه‌های اسپوف لوکیشن و سه‌گوش‌سازی[2] موقعیت مکانی او را تعیین کنند. از چهار اپ زوج‌یابی که برای کار کردن به داده‌های ژئولوکیشنی نیاز دارند دو تایشان یعنی تیندر و بامبل به مقابله با این برنامه‌ها می‌پردازند.

نتیجه‌گیری

از نقطه‌نظر تماماً فنی، امنیت اپ زوج‌یابی در طول این چهارسال به طور چشمگیری ارتقا یافته است- همه سرویس‌هایی که بررسی کردیم اکنون از رمزگذاری استفاده می‌کنند و در برابر بسیاری از حملات مرد میانی مقابله می‌نمایند. بیشتر اپ‌ها برنامه‌های مبارزه با باگ و پاداش برای پیدا کردن باگ‌ها دارند که همین به پچ آسیب‌پذیری‌های جدی در محصولات کمک می‌کند. اما تا جایی که به حریم خصوصی مربوط می‌شود اوضاع چندان هم رو به راه نیست: اپ‌ها انگار هیچ انگیزه‌ای برای محافظت از کاربران خود در برابر مبحث oversharing (زیاد از حد به اشتراک گذاشتن) ندارند. افراد اغلب بیش از حد معقول از خود چیزی پست می‌کنند و انگار یادشان می‌رود یا برایشان مهم نیست عواقب چه‌ها خواهد بود: داکسینگ، تعقیب، نشت داده و سایر شرارت‌های آنلاین. البته که مشکل اشتراک‌گذاری افراطی فقط به اپ‌های زوج‌یابی محدود نمی‌شود- شبکه‌های اجتماعی هم همین مشکل را دارند. اما به دلیل ماهیت خاص‌شان اپ‌های زوج‌یابی اغلب کاربران را ترغیب می‌کنند به اشتراک‌گذاری داده‌هایی که شاید در جاهای دیگر پست نشوند. افزون بر این، سرویس‌های زوج‌یابی آنلاین معمولاً کنترل کمتری روی این دارند که کاربران دقیقاً دارند داده‌های خود را با چه کسی به اشتراک می‌گذارند. از این رو به همه کاربران اپ‌های زوج‌یابی (و یا سایر اپ‌ها) توصیه می‌کنیم که حواستان به بایدها و نبایدهای share کردن باشد.

[1] cleartext

[2]روشی است در علوم مثلثات و هندسه که در آن با استفاده از اندازه گیری زاویه یک نقطه نسبت به دو نقطه معین، مختصات آن نقطه را محاسبه می‌کنند. امروزه از این روش برای اندازه گیری سه بعدی نوری استفاده می‌شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.