Ali Borhani - گاه‌نوشته‌های یک توسعه‌دهنده!

ردیابی شماره موبایل، ما حریم خصوصی شما را نقض می‌کنیم!

تصویر یکی از اپلیکیشن‌های ردیابی شماره موبایل در کافه بازار

اگر در پاپ‌آپ‌ها و بنر‌های تبلیغاتی، پیام‌ها و کانال‌های تلگرامی، کافه بازار، ایمیل‌های اسپم با تبلیغ مشابه ردیابی شماره موبایل برخورد نداشته‌اید، احتمالا خیلی خوش شانس بوده‌اید! ولی چنین اپ‌هایی با روش‌های گفته شده کلی درآمد داشته اند! اما آیا این اپ‌ها حریم خصوصی و امنیت کاربر را نیز در نظر می‌گیرند؟ آیا ادعای پیدا کردن موقعیت هر شماره موبایل

بروزرسانی ۴-۲-۲۰۱۶: اپ نشان داده شده در عکس، پس از بررسی بازار، در نسخه جدید لیست سفید را اضافه کرده است. اطلاعات بیشتر در ادامه مطلب.

اپلیکیشن‌های ردیابی شماره موبایل چه هستند؟!

اول از همه بیایید کمی آن‌ها را معرفی کنیم! با استفاده از این اپلیکیشن‌ها شما می‌توانید شماره موبایل مورد نظر خود را وارد کنید و بر روی نقشه موقعیت فعلی شماره مورد نظر را پیدا کنید!

به همین راحتی؟

خیر! در حقیقت چیزی که در بالا گفته شد، مشابه پیام‌های تبلیغاتی چنین اپ‌هایی است! قسمت مهم را در انبوهی از مطالب و عکس‌ها پنهان می کنند که احتمالا شما آن‌ها را نمی‌خوانید!

شماره‌ای که می‌خواهید ردیابی کنید هم باید این اپلیکیشن را نصب کرده باشد!

تصویر معرفی یکی از این اپ‌ها در معرفی این اپلیکیشن به صراحت گفته شده است، ما از روی عمد قسمت مهم را در آخر آورده‌ایم!

اپلیکیشن‌های ردیابی شماره موبایل چگونه کار می کنند؟

ایده اصلی این اپلیکیشن‌ها از اپ‌های ضدسرقت مثل Avast Anti-theft گرفته شده است و کاربرد این چنینی دارند نه جاسوسی و نقض حریم خصوصی! اپ‌های ضدسرقت را بر روی گوشی خود نصب می‌کنید، عموما آیکان آن مخفی است و در لیست اپ‌ها قابل مشاهده نمی‌باشد، با استفاده از sms و یا حساب خود در وب‌سایت شرکت سازنده می‌توانید موقعیت آن را پیدا کنید و یا گوشی خود را کنترل کنید. (خود گوگل و اپل نیز چنین امکانی را دارند).

اما نمونه‌های ایرانی گفته شده چگونه کار می‌کند؟

بعد از خریداری کردن چنین اپ‌هایی به شما یک نقشه نمایش داده می شود و یک فیلد برای وارد کردن شماره مقصد. بعد از وارد کردن شماره مقصد و یا شماره خودتان! مراحل به صورت زیر است:

  1. یک sms برای شماره مورد نظر از طریق این اپ ارسال می‌شود.
  2. در صورتی که کاربر مقصد آن را نصب کرده باشد، اس ام اس را دریافت می کند.
  3. نوع درخواست بررسی شده و آماده دریافت موقعیت فعلی کاربر می‌شود.
  4. اگر GPS فعال باشد و اپ مورد نظر نیز مجوز آن را داشته باشد، موقعیت را از طریق GPS دریافت می کند، در غیر این صورت از طریق موقعیت آنتن‌های مخابراتی اطراف، موقعیت تقریبی آن محاسبه می شود (اگر آنتن‌های مخابراتی زیاد باشد، موقعیت محاسبه شده دقیق تر است).
  5. موقعیت فعلی را به کاربر درخواست دهنده، اس‌ام‌اس می کند!
  6. کاربر درخواست کننده پس از دریافت اس‌ام‌اس، مختصات آن را بر روی نقشه نمایش می‌دهد.
  7. تمام!

امنیت بی امنیت، ما ارزشی برای حریم خصوصی شما قائل نیستیم!

اگر به فرایند بالا دقت کنید، به مکانیزم‌های امنیتی آن اشاره نشده است، هرچند در بعضی از آن‌ها مکانیزم امنیتی وجود ندارند که بخواهم به آن اشاره کنم!!

در نمونه خارجی که برای ضد سرقت تعریف شده است روش‌هایی وجود دارد تا هر کسی نتواند موقعیت دستگاه شماره مورد نظر را پیدا کند و یا اطلاعات دستگاه را با مکانیزم wipe data برای جلوگیری از دسترسی سارق به اطلاعات، پاک کند! عموما چنین مکانیزم‌های در این اپلیکیشن‌ها تعبیه شده است:

  • فقط از طریق حساب گوگل / اپل وارد شده در دستگاه
  • کدرمز، تنها به پیام‌هایی که کدرمز صحیح وارد کرده باشد، رسیدگی می‌شود.
  • لیست سفید، تنها به پیام‌های شماره هایی که در لیست سفید وارد شده باشند، رسیدگی می شود.

در مورد نمونه های ایرانی به چه صورت است؟

بعضی از آن‌ها به عنوان یکی از امکانات، تنظیم کد رمز یا پسورد شخصی را ذکر کرده‌اند، که البته در بیشتر آن‌ها به صورت پیشفرض فعال نیست!

بعضی از آن‌ها که در ادامه به یکی از آن‌ها می پردازم که بیشتر از ۲۰۰۰۰ کاربر فقط آن را از کافه بازار خریده‌اند و هیچ مکانیزم امنیتی در آن وجود ندارد و شما به به راحتی می‌توانید با داشتن شماره هر کسی که این اپ را نصب کرده است، موقعیت فعلی آن را پیدا کنید!

اپ یاد شده، که تصویر آن در اول مطلب هم هست، در ورژن‌های قبلی به صورت plain-text درخواست موقعیت را ارسال می کرد:

تصویر اس‌ام‌اس‌های این اپ اس‌ام‌اس‌های این اپ، شماره خودم را وارد کرده‌ام!

بعد از دیکامپایل کردن آن و گزارش دادن به کافه بازار اپ مورد نظر برای مدتی از کافه بازار حذف شد، اما با انتشار نسخه جدید آن، دوباره در کافه بازار منتشر شد. اما مشکل هنوز وجود دارد!

تصویر اس‌ام‌اس های ارسالی نسخه جدید این اپ اس‌ام‌اس‌های ارسالی نسخه جدید این اپ

اگر خودتان حدس زده باشید این تنها base64 عبارت مشابه قبلی است! در نتیجه چیزی تغییر نکرده است !

$ echo "R**************************************w==" | base64 -D

GpsLoc#***********#**********#**#*************

من این را نیز چند هفته پیش گزارش داده‌ام و تا الان اتفاق خاصی نیفتاده است و بیشتر از ۲۰۰۰۰ کاربر نیز با چنین مشکل امنیتی مواجه هستند!

اما این اپ‌ها، مجوز فلان سازمان دولتی را دارند!؟

بله، دقیقا مشکل کار همین است! به نظر می‌رسد دغدغه چنین سازمان‌هایی تعداد مجوزهای صادر شده است، تا کیفیت و امنیت اپلیکیشن‌ها و حریم خصوصی کاربران!

و اما نتیجه گیری!

پیام‌های تبلیغاتی سعی در ترغیب شما دارند! واقعیت‌هایی را به شما نشان نمی‌دهند و یا آن را کمرنگ می کنند. در بعضی موارد حتی برای حریم خصوصی شما هم ارزشی قائل نمی‌شوند و فقط به درآمد و سود خود فکر می کنند! چیز‌هایی که منطقی به نظر نمی‌رسد را برای شما منطقی جلوه می کنند تا پول درآورند! اما راه حل چیست؟ آگاهی و تفکر.

مطالعه بیشتر:

بروزرسانی ۴-۲-۲۰۱۶

پس از بررسی بازار، اپ نشان داده شده در تصویر اول، نسخه جدیدی را منتشر کرد که در آن، کاربر می‌تواند لیست شماره تلفن‌هایی را که مجاز به ردیابی گوشی هستند، وارد کند (لیست سفید). هر چند این اجباری نیست و در برنامه به کاربر نیز توصیه نمی‌شود تا شماره های مجاز را وارد کند.

تصویر فرم اضافه کردن شماره در لیست سفید اپ تصویر فرم اضافه کردن شماره در لیست سفید اپ در نسخه جدید