روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای همه خرابی اسمارت‌فون، تبلت یا لپ‌تاپ‌ پیش آمده و خوب در این چنین مواقعی مجبوریم آن‌ها را بدهیم تعمیر کنند. دلیل چنین خرابی‌هایی شاید سهل‌انگاری از سمت کاربر باشد: اسکرین‌های شکسته‌ی اسمارت‌فون میلیاردها دلار به چرخه این صنعت تزریق کرده است. اما اغلب اوقات مشکل عدم کارکردهای رندوم است: مانند مشکل باتری، خراب شدن هارد درایو یا خرابی کلیدهای کیبورد.

این می‌تواند هر زمانی برای هر کسی پیش بیاید. متأسفانه دستگاه‌های مدرن طوری درست شدند که حتی حرفه‌ای‌ترین تکنسین‌ها هم اغلب نمی‌توانند آن‌ها را به تنهایی درست کنند. قابلیت تعمیر اسمارت‌فون‌ها سال به سال رو به کاهش است. برای تعمیر مدل‌های جدید نه تنها مهارت و درک کلی از ساز و کار انواع دستگاه‌های دیجیتال که همچنین ابزارهای تخصصی، مهارت تخصصی و دسترسی به داکیومنت‌ها و داشتن قطعات یدک لازم دارد. از این رو وقتی اسمارت‌فون یا لپ‌تاپی خراب می‌شود کاربر معمولاً چاره‌ای جز مراجعه کردن به مرکز سرویس ندارد.

از اینها گذشته، صرف گوشه‌ای انداختن دستگاه خراب‌شده و خرید مدل جدید گزینه‌ی خوبی نیست زیرا در نهایت باید داده‌های قبلی را ریکاوری کرد. حال فکر می‌کنید اگر بروید به مرکز پشتیبانی همه‌چیز حل می‌شود؟ باید بگوییم مشکلی وجود دارد: باید دستگاه خود را به دست فردی غریبه بدهید. عکس‌ها، ویدیوها، مکاتبات و همه تاریخچه‌ی تماس، داکیومنت‌ها و اطلاعات مالی شما می‌تواند مستقیم بیافتد به دست کسی که نمی‌شناسید. آیا می‌شود به چنین فردی اعتماد کرد؟

مشاهده پورن در مغازه‌های تعمیر معضلی اساسی است!

خبرهایی از گوشه و کنار می‌رسد که افرادی که در فروشگاه‌های وسایل دیجیتال کار می‌کنند اغلب روی دستگاه‌هایی که می‌دهند برای تعمیر پورن تماشا می‌کنند و این می‌تواند معضل جدی‌ای باشد. هر از چندگاهی هم چنین تیترهایی را در جراید می‌بینیم. کارمندانی که عکس‌های خصوصی مشتریان را می‌دزدند. و برخی اوقات حتی ماجراها جدی‌تر از اینهاست: در یکی از پرونده‌ها کارمندان مرکز سرویس‌دهی نه تنها عکس‌های مشتریان زن را سال‌ها سرقت می‌کردند که همچنین مجموعه‌ای از آن‌ها درست کرده و آن‌ها را به اشتراک می‌گذاشتند. فکر می‌کنید این موارد به ندرت پیش می‌آید؟ باید خدمتتان عرض کنیم که مطالعات اخیر نشان داده تکنسین‌های تعمیر و نگهداری اغلب حریم خصوصی مشتریان را نقض می‌کنند و این مسئله بیش از حد تصور رواج دارد. در حقیقت، به نظر می‌رسد بسیار احتمال دارد این مسئله به حس کنجکاوی کارمند بخش تعمیر برگردد.

چطور بخش تعمیرات لوازم الکترونیکی با داده‌های مشتری برخورد می‌کند؟

تحقیقی انجام شده توسط محققین دانشگاه گوئلف کانادا دارای چهار بخش است که دو بخش اختصاص دارد به تحلیل مکالمات با سرویس‌های تعمیر و دو بخش دیگر اختصاص دارد به مطالعات میدانی در خود مغازه‌های سرویس. در بخش‌های میدانی محققین سعی داشتند پی ببرند چطور فروشگاه‌های تعمیراتی حریم خصوصی مشتریان را رعایت می‌کنند. مهمتر اینکه محققین به سیاست‌ها و رویه‌های حریم خصوصی که این فروشگاه‌ها برای محافظت از داده‌های مشتری خود داشتند علاقمند بودند. برای انجام این کار، محققین به حدود 20 فروشگاه سرویس از هر نوعی سر زدند (از تعمیرگرهای کوچک محلی گرفته تا ارائه‌دهندگان سرویس منطقه‌ای و ملی). دلیل هر بازدید هم تعمیر باتری در لپ‌تاپ مدل ASUS UX330U بود.

دلیل انتخاب این ایراد فنی ساده است: تشخیص مشکل و حل ان به دسترسی به سیستم عامل نیازی نداشت و همه آنچه نیاز بود رابط متحد توسعه‌پذیر سیستم‌عامل (UEFI) بود. بازدیدهای محققین به مراکز سرویس شامل چند مرحله می‌شد: اول اینکه آن‌ها دنبال هرگونه اطلاعاتی بودند که در مورد خط مشی رازداری داده مرکز خدمات به راحتی در دسترس مشتری باشد. دوم، آنها بررسی کردند آیا کارمندی که دستگاه را دریافت می‌کند، نام کاربری و رمز عبور را برای ورود به سیستم عامل درخواست می‌کند و اگر چنین است، چگونه نیاز به تحویل آن اطلاعات را توجیه می‌کند (دلیل واضحی برای این وجود ندارد زیرا، همانطور که گفته شد، تعویض باتری نیازی به دسترسی به سیستم عامل ندارد). سوم، محققین به نحوه ذخیره رمز عبور دستگاهی که برای تعمیر تحویل داده شده است، اشاره کردند. در نهایت، چهارمین مرحله، آنها از کارمندی که تجهیزات را می پذیرد یک سؤال مستقیم و بدون ابهام پرسیدند:

"چگونه مطمئن می شوید که هیچ کس به داده های شخصی من دسترسی نخواهد داشت؟" این برای این است که متوجه شوید چه سیاست‌ها و پروتکل‌های حفظ حریم خصوصی وجود دارد.

و نتایج این بخش از تحقیق مأیوس‌کننده بود!:

•         هیچ یک از فروشگاه‌های خدماتی که محققین از آن بازدید کردند، قبل از پذیرش دستگاه، «مشتریان» را در مورد سیاست حفظ حریم خصوصی مربوطه مطلع نکردند.
•         به جز یک مرکز منطقه‌ای واحد، همه سرویس‌ها رمز ورود به سیستم را درخواست کردند - با این استدلال که صرفاً برای تشخیص یا تعمیر یا بررسی کیفیت خدمات ارائه شده لازم است (که همانطور که در بالا ذکر شد اینطور نیست).
•         وقتی از آنها پرسیده شد که آیا امکان تعویض باتری بدون رمز عبور وجود دارد یا خیر، هر سه ارائه دهنده ملی پاسخ دادند "نه". در پنج سرویس کوچکتر آنها گفتند که بدون رمز عبور نمی توانند کیفیت کار انجام شده را بررسی کنند و بنابراین از قبول مسئولیت نتایج تعمیر خودداری کردند. فروشگاه دیگری پیشنهاد کرد که اگر مشتری نمی‌خواهد رمز عبور را به اشتراک بگذارد، حذف شود! و در نهایت، آخرین فروشگاهی که بازدید کرد گفت که اگر رمز عبور به آنها داده نشود، در صورتی که تکنسین تعمیر و نگهداری نیاز به انجام این کار داشته باشد، دستگاه می‌تواند ریست فکتوری شود.
•         در مورد ذخیره‌سازی اعتبارنامه‌ها، تقریباً در همه موارد، آنها به همراه نام، شماره تلفن و آدرس ایمیل مشتری در یک پایگاه داده الکترونیکی ذخیره می‌شدند، اما هیچ توضیحی در مورد اینکه چه کسی می‌تواند به این پایگاه داده دسترسی داشته باشد وجود نداشت.
•         در حدود نیمی از موارد، اطلاعات محرمانه لاگین به صورت فیزیکی به لپ تاپی که برای تعمیر تحویل داده شده بود، متصل می شد. این یا چاپ شده و به عنوان یک برچسب (در مورد خدمات بزرگتر) وصل شده است، یا به سادگی روی یک یادداشت چسبناک با دست نوشته شده است – کلاسیک؛ اینطور نیست؟! بنابراین، به نظر می‌رسد هر یک از کارمندان فروشگاه های خدمات (شاید حتی بازدیدکنندگان معمولی) می‌توانند به رمزهای عبور دسترسی داشته باشند.
•         هنگامی که از کارمندی که دستگاه را پذیرفت و سایر کارکنان تعمیرات پرسیده شد چگونه حریم خصوصی داده‌ها تضمین می‌شود، اطمینان دادند که تنها تکنسینی که دستگاه را تعمیر می‌کند، به آن دسترسی خواهد داشت. با این حال، تحقیقات بیشتر نشان داد که هیچ مکانیزمی وجود ندارد که بتواند این موضوع را تضمین کند.

پس تکنسین‌های تعمیر و نگهداری با داده‌های شخصی مشتریان چه می‌کنند؟

محققین پس از اینکه متوجه شدند مراکز خدمات هیچ مکانیزمی برای مهار کنجکاوی متخصصان خود ندارند، در بخش بعدی این مطالعه، شروع به بررسی این کردند که واقعاً چه اتفاقی برای یک دستگاه پس از تحویل آن برای تعمیر می‌افتد. برای این کار، شش لپ‌تاپ جدید خریدند و یک مشکل اساسی را با درایور صوتی روی آن‌ها شبیه‌سازی کردند. آنها به سادگی آن را خاموش کردند. بنابراین، "تعمیر" فقط نیاز به تشخیص سطحی و رفع سریع مشکل با روشن کردن آن داشت. این نقص خاص از آنجا انتخاب شد که برخلاف سایر سرویس‌ها (مانند حذف ویروس‌ها از سیستم)، "تعمیر" درایور صوتی نیازی به دسترسی به فایل‌های کاربر ندارد.

محققین هویت‌های کاربر ساختگی را روی لپ تاپ‌ها ساختند (کاربران مرد در نیمه اول آزمایش و کاربران زن در نیمه دوم). آنها یک تاریخچه مرورگر، حساب‌های ایمیل و بازی ایجاد کردند و فایل‌های مختلفی از جمله عکس‌های آزمایش‌کنندگان را اضافه کردند. همچنین اولین «طعمه» اضافه شد: فایلی با اطلاعات کیف پول ارزهای دیجیتال. طعمه دوم یک فولدر مجزا بود حاوی تصاویری با کد زنانه (از قبل به منظور اهداف آزمایشی از کاربران Reddit رضایت گرفته شده بود). در نهایت قبل از اینکه لپ‌تاپ‌ها به این سرویس تحویل داده شوند، محققین ابزار Windows Problem Steps Recorder را فعال کردند که هر عمل انجام شده روی دستگاه را ثبت می‌کند.

پس از آن، لپ تاپ ها "برای تعمیر" به 16 مرکز خدمات تحویل داده شدند. مجدداً، برای بدست آوردن تصویر کامل، محققین از خدمات محلی کوچک و مراکز ارائه دهندگان بزرگ منطقه ای یا ملی بازدید کردند. جنسیت "مشتریان" به طور مساوی توزیع شد: در هشت مورد دستگاه‌ها با شخصیت زن خیالی پیکربندی شدند و در هشت مورد دیگر - با یک مرد.

و این هم یافته‌های محققین:

•         با وجود سادگی، مشکل درایور صوتی تنها در دو مورد در حضور "مشتری" پس از یک انتظار کوتاه حل شد. در تمام آزمایشات دیگر، لپ تاپ‌ها باید حداقل تا روز بعد باقی می‌ماند. و مراکز خدمات ارائه دهندگان خدمات ملی حداقل دو روز آنها را برای "تعمیر" نگه داشتند.
•         برای دو سرویس محلی، امکان جمع آوری گزارش اقدامات کارکنان تعمیر وجود نداشت. در یک مورد، دلیل قابل قبولی برای این موضوع یافت نشد. در مورد دیگر، به محققین گفته شد که تکنسین‌های تعمیر و نگهداری باید نرم افزار آنتی ویروس را روی دستگاه اجرا کرده و دیسک آن را به دلیل وجود ویروس های متعدد پاکسازی کنند (محققان کاملاً مطمئن بودند که در زمان رها کردن، لپ تاپ نمی تواند آلوده باشد).

در موارد دیگر محققین توانستند لاگ‌ها را بررسی کنند. و این هم یافته‌ها:

•         در میان گزارش‌های باقی‌مانده، محققین شش مورد یافتند که تعمیرکاران به فایل‌های شخصی یا تاریخچه مرورگر دسترسی پیدا کردند. در چهار مورد، این روی لپ‌تاپ‌های "زنان" ثبت شد. دو مورد دیگر - در مورد "مردان".
•         در نیمی از رخدادها، کارکنان مرکز خدمات کنجکاو سعی کردند با پاک کردن لیست فایل‌های ویندوزی که اخیراً باز شده‌اند، آثاری از اقدامات خود را پنهان کنند.
•         کارکنان تعمیر بیشترین علاقه را به فولدرهای تصویری داشتند. مطالب آنها (از جمله عکس‌های صریح و واضح) در پنج مورد مشاهده شد. چهار لپ‌تاپ در این موارد به زنان و بقیه متعلق به مرد «متعلق» بودند.
•         تاریخچه مرورگر موضوع مورد توجه دو لپ‌تاپ بود - هر دو "متعلق به" مردان بودند.
•         داده‌های مالی یک بار دیده شده بودند- روی دستگاه مردان.
•         در دو مورد، فایل‌های کاربر توسط تکنسین‌های تعمیر و نگهداری در یک دستگاه خارجی کپی شدند. هر دو بار، عکس‌های صریح بودند و در یک مورد، داده‌های مالی فوق اضافه شده بود.

راهکارهای امنیتی

البته که باید در نظر داشتن این تحقیق در کانادا صورت گرفت و نتایج را نمی‌شود به همه کشورها تعمیم داد. با این وجود شک داریم وضعیت در جاهای دیگر دنیا بهتر باشد. احتمال دارد مراکز سرویس‌دهی در بیشتر کشورها درست مانند کانادا هیچ مکانیزمی برای جلوگیری از نقض داده‌های مشتری توسط تکنسین‌ها نداشته باشند. همچنین احتمال دارد این کارمندان از نبود محدودیت‌هایی که کارفرمایان باید لحاظ کنند برای دید زدن داده‌های شخصی مشتریان سوءاستفاده می‌کنند (بخصوص اطلاعات خصوصی زنان).

پس پیش از اینکه دستگاه خود را به مرکز سرویس ببرید توصیه می‌کنیم:

•         مطمئن شوید از همه داده‌های خود که در دستگاه‌تان هست بک آپ گرفته‌اید. این بک آپ اگر در دستگاه ذخیره خارجی (هارد اکسترنال) باشد بهتر است (در صورت امکان). این یک روش استاندارد برای مراکز خدماتی است که هیچ تضمینی در مورد ایمنی داده‌های مشتری نداشته باشند، بنابراین ممکن است فایل‌های ارزشمندی را در جریان تعمیر از دست بدهید.
•         در حالت ایده آل، دستگاه شما باید به طور کامل از تمام داده‌ها پاک شود و قبل از اینکه آن را برای تعمیر قرار دهید، به تنظیمات کارخانه برگردد. به عنوان مثال، این دقیقا همان چیزی است که اپل انجام آن را توصیه می‌کند.
•         اگر پاکسازی و آماده‌سازی دستگاه برای سرویس امکان پذیر نیست (مثلاً صفحه نمایش گوشی هوشمند شما خراب است)، سعی کنید سرویسی را پیدا کنید که همه چیز را به سرعت و مستقیماً در مقابل شما انجام دهد. مراکز کوچکتر معمولاً در این زمینه انعطاف بیشتری دارند.
•         در مورد لپ‌تاپ‌ها شاید پنهان کردن اطلاعات محرمانه‌تان در یک کانتینر رمزدار (برای مثال استفاده از یک راهکار امنیتی) یا دست کم یک آرشیو محافظت‌شده با پسورد کافی باشد.
•         دارندگان اسمارت‌فون‌های اندرویدی باید از قابلیت قفل اپ در Kaspersky Premium for Android استفاده کنند. این باعث می‌شود همه اپ‌های شما که از کد پین جداگانه استفاده می‌کنند قفل شوند و دیگر کسی نتواند آن‌ها را در اسمارت‌فون شما قفل‌گشایی کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.