موفقیت شرکت اوبِر که خدمات جابجایی مسافران را تسهیل میسازد، مورد توجه بسیاری از کارآفرینان در سراسر دنیا قرار گرفته است. حال در تقلید از اوبِر، تهران نیز از نیمه دوم سال ۱۳۹۴ شاهد شروع بهکار شرکتی است که خدمات مشابهی را ارائه میکند. درحالی که خدمات اوبِر جهانی برخلاف اعتراض رانندگان تاکسی، مورد توجه کاربران قرار گرفته و سود زیادی را نصیب این شرکت کرده است، باید دید آیا اِسنَپ، نسخه تهرانی آنهم میتواند همین مسیر را برود؟
گسترده شدن کاربرد اینترنت و ارائه خدمات متنوع در این زمینه به خودی خود خبر خوبی است. این نوع خدمات برخلاف تصور برخی افراد، موجب ایجاد فرصتهای شغلی جدیدی نیز شده و درمجموع بهرهوری اقتصادی را نیز افزایش میدهد. خدماتی که به آن اشاره شد در تهران به نام اِسنَپ [۱] ارائه میشود، این خدمت پیشتر به نام «تاکسی یاب» و از نیمه دوم سال ۱۳۹۳ شروع به کار کرده بود و پس از گذراندن دوره آزمایشی، حال با نام اِسنَپ کار میکند.
تردیدی نیست که این خدمت مبتنی بر گوشیهای هوشمند، نسخه تقلیدی بومی از اوبِر [۲] است. اما مهمتر آنکه شکی نیست که این خدمت اینترنتی باید متناسب با شرایط عمومی کشور انجام شود. استفاده از آن فواید زیادی دارد اما نگرانیهایی را هم دامن میزند که فواید کاربردی را متأثر میسازد. از این منظر چالشهای بزرگی بر سر راه اجرای این نوع خدمات وجود دارد که مهمترین آن مربوط به موضوعهای امنیتی است. بهطور خلاصه مسائل امنیتی پیرامون این خدمات را از دو جنبه میتوان بررسی کرد:
الف) امنیت نرمافزاری که بر روی گوشی شما نصب میشود.
ب) چالشهای امنیتی ناشی از استفاده از خدمات
صرفنظر از دستهبندی کلی که اشاره شد، در اینجا به برخی از چالشهای امنیتی در استفاده از این سامانه اشاره میشود:
۱- برای بررسی کارکرد اِسنَپ، نسخهای از نرمافزار آن را بر روی گوشی خود نصب کردم. نرمافزار ساده، راحت و مناسبی به نظر میرسد. پیادهسازی این نوع نرمافزارها را در سالهای اخیر چند شرکت داخلی برعهده دارند که نمونههای موفقی را به بانکها و کسبوکارهای مختلف ارائه دادهاند. نرمافزار نسخه اندروید شرکت اِسنَپ نیز در آخرین نسخه خود نمونه مناسب و کاربردی به نظر میرسد. اما نخستین صفحه ورودی این نرمافزار گزینهای برای وارد شدن به محیط کاربری با استفاده از حساب کاربری جی میل «Gmail» را در اختیار میگذارد که استفاده از آن حتماً مخاطراتی را دربر دارد. روشن نیست که آیا دسترسی بهحساب کاربری جی میل بر اساس توافق مشخصی بین این شرکت و گوگل برقرار شده باشد.
۲- از طرفی چنانچه شما حساب کاربری گوگل خود را روی گوشی فعال کرده و اجازه استفاده از آن را بدهید، نرمافزار مانند همه منابع دیگر گوشی، قادر به دسترسی به آن خواهد بود. (مانند امکان دسترسی به شمارههای تماس یا دسترسی به پیامک و موارد مشابه در سایر نرمافزارها.) درهرصورت برقراری ارتباط با نرمافزار از این طریق میتواند مخاطرات بزرگی را برای حساب کاربری ایجاد کند. متأسفانه این نکته در توافقنامه عمومی بین این شرکت و کاربران نیز مورد توجه قرار نگرفته و به همین دلیل دسترسی و برداشت اطلاعات کاربرانی که حساب کاربری جی میل خود را به این نرمافزار متصل کردهاند، مسئولیتی را متوجه این شرکت نخواهد کرد!
۳- درواقع موضوع مهمی که همواره ذهن کاربران و کارشناسان امنیتی را به خود مشغول داشته اینکه تقاضای دسترسی نرمافزارهای گوشیهای هوشمند به منابع و اطلاعات گوشی تا چه حد با ضرورتهای کاربردی این نرمافزارها تطبیق دارد؟
همچنین تلاش بسیاری در جریان است که میزان نظارت و مداخله کاربران در روند دسترسی به اطلاعات محرمانه افزایش یابد. رفتار نرمافزار اِسنَپ با کاربر و نظارت او بر دسترسی به اطلاعات شخصی و محرمانهاش، درست شبیه همان روش کارکرد سایر نرمافزارهایی است که نگرانیهای امنیتی را دامن زدهاند.
۴- مدیران این سامانه در یک مصاحبه مطبوعاتی گفتهاند: «در این سرویس مسافر… درخواست تاکسی میکند و… اولین تاکسی که به درخواست پاسخ بدهد، سفر را از آن خود میکند… تمام مراحل یک سفر توسط تاکسییاب تحت نظر قرار میگیرد… سفر از طریق GPS تحت نظر قرار میگیرد.» [۳] با توجه به این موضوع پس این سامانه اطلاعات جامعی از همه سفرهای یک کاربر را در طول زمان در اختیار دارد که به دلایل بسیاری کمتر مورد علاقه کاربران است.
۵- توافقنامه کاربری این نرمافزار نیز نکته خاصی را که نشان از توجه به حقوق کاربران و رفع نگرانیهای کاربردی و امنیتی آنان باشد در برندارد. در واقع حقی برای کاربر به جز پرداخت هزینهها در نظر گرفته نشده است و این جنبههای حقوقی و اجرایی زیادی را تحت تأثیر خود قرار میدهد.
۶- در هیچکدام از مستندات موجود در سایت سامانه اِسنَپ و یا مصاحبههای مدیران آن به چارچوبی که برای حفظ محرمانگی اطلاعات کاربران مربوط میشود، اشارهای نشده است. به عبارت دیگر مشخص نیست که آیا این سامانه تا چه حد خود را در قبال محرمانه نگه داشتن اطلاعات رفت و آمدهای کاربر مسئول دانسته و از افشای آنها خودداری خواهد کرد؟
به عبارت دیگر حتی اگر از حساب کاربری گوگل برای دسترسی به این سامانه استفاده نشود، چگونگی حفظ و مراقبت از اطلاعات فردی کاربر و اطلاعات رفت و آمدهای او همچنان مورد پرسش است.
بررسیها نشان میدهد که این سامانه تحت مالکیت شرکتی [۴] اجرا میشود که در چند سال اخیر برخی نمونههای موفق کسبوکارهای اینترنتی را با سرمایهگذاری و پشتیبانی خود در ایران راهاندازی کرده است. بنا بر اطلاعات موجود این گروه همچنین نقش مهمی در پیشرفت شرکتهایی همچون بامیلو، بُدوفود، تخفیفان و دیجی کالا داشته است. سرمایهگذاران این فعالیتها در مقطعی با همراه ساختن برخی مدیران میانی و در قالب حمایت از استارت آپهای ایرانی، موفق به جلب حمایت دولت نیز شدند. گرچه همه تلاش پُر سر و صدای این حمایتگران منجر به اجرای نسخههای تغییر نام یافته کسب و کارهای آنلاین خارجی شده و ابتکار ایرانی تا کنون به اجرا نرسیده است؛ اما همین همراهی دیری نپایید و با بروز برخی اتفاقات در زمینه استارت آپها، این روند تقریباً متوقف شده است. آخرین رویداد در این زمینه دستگیری چند نفر از فعالان راهاندازی این نوع استارت آپها و تعطیلی شتاب دهندهای به نام تهران هاب [۵] است که در سکوت خبری به وقوع پیوست.
صرفنظر از جنبههای امنیتی که توجه بخشهای مربوطه در جمهوری اسلامی را جلب کرد و واکنش آنها را برانگیخت، حضور این کسبوکارها بهعنوان وارد یا عرضهکننده مستقیم کالا و یا برهم زننده ارتباط سنتی بین مشتری و خدمات دهنده مورد اعتراض واقع شده و زمینه توسعه آنها را تضعیف میکند.
در مجموع روشن نیست کفه منفعت استفاده از این سامانه بیشتر به سمت کاربر باشد یا شرکت مجری در کنار بخشهای کنترل همهجانبه امنیت در جمهوری اسلامی.
در همین زمینه: اپلیکیشنهای مشکوک گوشی هوشمند
[۱] Snapp / http://snapp.ir/
[۲] Uber https://www.uber.com/
[۳] گفتوگو با مدیران تاکسییاب؛ تحول در سفرهای درونشهری
[۵] Tehran Hub http://tehranhub.org/
برای دسترسی به آرشیو بخش امن گذر، اینجا را کلیک کنید.
چقدر شما خوب تحلیل می کنید.
اخه مرد/خانم مومن شما برید یه سر توی
developer.google.com
اونجا فقط تنها چیزی که می تونید دریافت کنید ایمیل و عکس هست و اگه نیاز به اطلاعات بیشتر داشتید باید درخواست بدی اونا یعنی شرکت گوگل در صورت صلاح دید یه سری اطلاعات خاص میدن
چرا الکی میزنی تو سر این برنامه
شما اطلاعات نداری چرا میای بررسی غیر تخصصی میکنی
یکم خوبه اطلاعات داشته باشی بعد بیایی یه چیز بگی.
هر چند این کامنت من نمایش داده نمی شه. ولی وظیفه من هست بگم.
این پست هم ارسال میشه برای جادی که در بخش تقبیهات گفته بشه.
سجاد / 10 May 2016
کسی که این جمله را نوشته است “روشن نیست که آیا دسترسی بهحساب کاربری جی میل بر اساس توافق مشخصی بین این شرکت و گوگل برقرار شده باشد.” قطعا هیچ چیزی از برنامه نویسی و حتی سرویسهایی که گوگل و سایر سایتها مانند فیسبوک در اختیار کاربر قرا میدهد، نمیداند.
هر برنامه نویسی در هر کجای دنیا باشد میتواند از سرویسهای عمومی گوگل و یا شبکههای اجتماعی مانند فیسبوک و توییتر و … به عنوان لاگین به حساب کاربری استفاده کند. امروز تقریبا ۹۰٪ بازیهای کامپیوتری هم همین کار را میکنند. کافی است تا یک جستجوی ساده در گوگل بکنید
https://www.google.com/webhp?hl=en#hl=en&q=how+to+use+gmail+login+for+my+website
تا متوجه شوید که استفاد از این سرویس هیچ نیازی به توافق نامه خاصی بین گوگل و شرکت سازنده اپ یا نرم افزار ندارد. من شخصا بعد از خواندن آن یک خط دیگر باقی مقاله را نخواندم. از رادیو زمانه انتظار میرود که هر مطلبی را از هر کسی به اسم کارشناس چاپ نکند و حتمن قبل از انتشار چنین مطالبی با چند متخصص مشورت کند تا چنین اشتباههای فاحشی پیش نیاد. این مقاله قطعا نیاز به اصلاح دارد.
علی / 10 May 2016
سپاس کاربران عزیز از نظر شما
پاسخ نگارنده مطلب در ادامه آورده شده است:
بدون شک نگارنده این مطلب خود را نسبت به همه موارد مطلع ندانسته، و از خطا در شرح و بیان دانسته های اندک خود نیز دچار خطا بوده و هست، اما در پاسخ به عبارات پرخاشگرانه نسبت به دو بخش از مطلب، لازم است به چند نکته توجه شود :
1- عبارت درست در بند یک از فهرست چالش های امنیتی به این شرح است : “روشن است که نباید دسترسی بهحساب کاربری جی میل بر اساس توافق مشخصی بین این شرکت و گوگل برقرار شده باشد.” هر نوع خطای ناشی از سوء برداشت در این زمنیه، به نگارنده بر می گردد.
2- عبارت مندرج در بند دو از فهرست چالش های امنیتی که می گوید : “از طرفی چنانچه شما حساب کاربری گوگل خود را روی گوشی فعال کرده و اجازه استفاده از آن را بدهید، نرمافزار مانند همه منابع دیگر گوشی، قادر به دسترسی به آن خواهد بود. (مانند امکان دسترسی به شمارههای تماس یا دسترسی به پیامک و موارد مشابه در سایر نرمافزارها.)” ناظر به شرح عمومی مشکلات ناشی از فعال بودن مداوم حساب کاربری گوگل بر روی گوشی است که زمینه سرقت اطلاعات را فراهم می سازد، پرهیز از طولانی شدن متن موجب ابهام در برداشت شده است.
3- متاسفانه گروه معترض و حامی سامانه اسنپ هیچ توضیحی درباره سایر بندهای ابهامات مندرج در متن ارائه نکرده اند.
4- مطلب ارائه شده از همان نخستین پاراگراف جنبه های مثبت این نوع کسب و کارها را ذکر و در ادامه نیز تکرار کرده است، چنانچه کارکنان و افراد مرتبط با این فعالیت، متن را با آرامش ملاحظه کنند، حتما این نگاه جانبدارانه نگارنده در دفاع از کسب و کارهای داخلی را درمی یابند. (احتمالا دفاع بیش از این، مطلب را تبدیل به یک رپرتاژ آگهی می کرد) بدترین شیوه دفاع از یک فعالیت چشم بستن بر کاستی های آن و راندن منتقدین با زبان توهین و اتهام و برخوردهای احساساتی است؛ از این منظر و در مقایسه با واکنشهای عصبی و کم تحمل، نگارنده تا اینجا مدافع بهتری برای این کسب و کار بوده است.
با احترام
مانی امیرخانی
ادیتور بخش امن گذر / 11 May 2016
من به عنوان یه خواننده بلاگ شما اومدم نظر گذاشتم واینکه فکر می کنید که جزو برو بچه های این شرکت باشم خب یکم عجیب هست٬
در نهایت نشستن در جای یه شخصی که بررسی میکنه امنیت یه برنامه باید اون شخص بطور کامل بررسی کنی و دیتا های رد و بدل شده با سرور های این برنامه رو بررسی کنی و کلی چیزای دیگه رو مد نظر قرار بده و برداشت هایی که از یه شخص که از امنیت نمی دونه یا حداقل خیلی کم این مشکل ساز میشه چون ممکنه برداشت های غیر تخصصی لطمه بزنه به یه چیزی یا کسی.
پس این کار تحلیل باید توسط کسی انجام بشه که اول از برنامه نویسی موبایل سر در بیاره
و دوم بدونه سیستم چطور کار میکنه و یه پیش زمینه داشته باشه
اگه من بر ضد خواسته شما نظر می دم دلیل بر درست بودن کار شما نمیشه و شاید واقعا اشتباه هست کار شما. این جنبه هم ببین.
مرسی که با سخاوت و آرامش نظر تند اولی رو ج دادی.
سجاد / 12 May 2016
چرا تا کسی انتقادی می کنه بلافاصله اون رو شخصی فرض می کنید و جبهه می گیرید؟ من چند بار نظرات رو خوندم ولی نه جایی به کسی پرخاش شده و نه جسارتی شده که این جوابش باشه! “ما در پاسخ به عبارات پرخاشگرانه نسبت به دو بخش از مطلب..”
مرشد از بیرون از قفس / 16 May 2016