مرکز ماهر که در مهر ماه گزارشی هشدار دهنده درباره اپلیکیشنهای غیر رسمی اینستاگرامی منتشر کرده بود، عصر دیروز (3 دی ماه) در گزارشی مفصلتر به جزییات مشکلات این اپلیکیشنها پرداخته است. این اپلیکیشنها که عمدتاً به «فالوئریاب»، «لایک بگیر» و این گونه موارد مرتبط هستند گاه کاربران چند ده هزار نفری دارند و بر اساس گزارش این مرکز، برخلاف نوشتهها و اساسنامه داخل برنامه به سرقت اطلاعات از کاربران میپردازند.
مرکز ماهر در گزارش خود 200 برنامه اندرویدی که غیر رسمی مرتبط با اینستاگرام را از مارکتهای اندرویدی داخل ایران بررسی و اعلام کرده که نزدیک به نیمی از این تعداد برای کارکردشان نیاز به ورود حساب اینستاگرامی کاربران داشتند؛ در بین این صد برنامه نیز، بیش از نصف آنها سارق اطلاعات کاربران هستند:
«این برنامهها نام کاربری و رمز عبور اینستاگرامی کاربر را به روشهای مختلف استخراج کرده و به سرور توسعهدهندگان ارسال میکردند. با توجه به آمار نصبهای این برنامه ها بهصورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامهها قرار گرفته است.»
امیر ناظمی رییس سازمان فناوری اطلاعات در توییتی انتشار این گزارش را در راستای غیرمحرمانه سازی گزارشهای این سازمان خوانده است.
به گزارش مرکز ماهر، برخی از برنامههای دیگر این صد برنامه هم به طور مستقیم مبادرت به سرقت اطلاعات نمیکردند ولی با استفاده از روشهای دیگری رمز عبور کاربران را استخراج میکنند. البته در گزارش تایید شده که هنوز شواهدی برای ارسال رمز عبور در این برنامهها پیدا نشده و برای همین نامشان در لیست برنامههای سارق ذکر نشده و آنها برنامههای استخراج کننده رمز عبور نامگذاری شدهاند:
«متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامههای باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج میکردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامهها در کل خطر بالایی دارند و بهتر است که فروشگاه های اندرویدی پیش از انتشار چنین برنامههایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیقتری داشته باشند.»
لازم به ذکر است که در این تحقیق تمام برنامههای اندرویدی مارکتهای داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویست عددی از برنامهها برای نمونه جمع آوری و تحلیل شدند. در نتیجه احتمالا تعداد برنامههای مخرب اینچنینی در مارکتهای ایرانی بیشتر از رقم اعلامی از سوی مرکز ماهر و سازمان فناوری اطلاعات ایران است.
برنامههای حذف شده از مارکتها عموما کاربران زیادی ندارند و در مارکت خود جایگاه مهمی نداشتند.
به گفته مرکز ماهر، تعدادی از این برنامهها با همکاری مارکتهای ایرانی از این مجموعهها حذف شدهاند و مرکز ماهر آنها را با هایلایت زرد رنگ در برنامه مشخص کرده است. با این وجود به نظر میرسد که تعداد زیادی از برنامههایی که کاربران چند ده هزار نفری دارند کماکان در مارکتها حضور دارند. هنوز مشخص نیست که آیا این برنامهها وعده دادهاند تا تغییراتی در سیستم خود انجام دهند و یا تیمهای تخصصی خود مارکتها در حال بررسی صحت اطلاعات منتشر شده هستند.
بسیاری از برنامههای داخل لیست مرکز ماهر که به عنوان سارق یا استخراج کننده شناخته شدهاند کماکان با دهها هزار کاربر در مارکتهای اندرویدی قابل دانلود هستند.
رییس سازمان فناوری اطلاعات ایران در توییت دیگری، در رابطه با سرانجام این برنامهها گفته که «وظیفه سازمان فناوری اطلاعات رصد، شناسایی و اطلاعرسانی است. پیشتر اطلاعرسانی محدود به سازمانهای مسوول بود و در این دوره اطلاعرسانی عمومی به مردم نیز جزو وظایف قرار گرفت.»
این در حالیست که در ماده 72 قانون آیین دادرسی کیفری صریحا آمده است که «هرگاه مقامات و اشخاص رسمی از وقوع یکی از جرایم غیر قابل گذشت در حوزه کاری خود مطلع شوند، مکلفند موضوع را فوری به دادستان اطلاع دهند.»
شایان ذکر است مرکز ماهر اعلام کرده برخی از صفحات فیشینگ مورد اشاره در مستند نیز با همکاری میزبانان داخلی و خارجی حذف شدند اما برخی از دامنههای فیشینگ صفحه ورود اینستاگرام به دلیل عدم همکاری میزبانان خارجی همچنان فعال هستند.
نکته جالب اینجاست که برخی از برنامههای سارق و استخراج کننده رمز که در گزارش مرکز ماهر آمدهاند، در مارکت اندرویدی گوگل پلی حذف شدهاند اما کماکان در مارکتهای داخلی فعالیت دارند.
روند غیرمحرمانه سازی این گزارشات مدتی است که در وزارت ارتباطات و سازمان فناوری اطلاعات آغاز شده و تاکنون مستندات جالب توجهی نیز منتشر شدهاند؛ اینکه چرا این گزارشات تا پیش از این در دسترس عموم قرار نمیگرفتند هم خود جای بحث دارد، اما رییس سازمان فناوری اطلاعات وعده داده تا فرایند سخت و پرچالش انتشار این گزارشات و در آوردن آنها از حالت محرمانه را در آینده روایت خواهد کرد.
باید دید توضیح و عملکرد بعدی فروشگاههای اپلیکیشن ایرانی که اجازه انتشار چنین اپلیکیشنهایی را دادهاند، چه خواهد بود.