top

تطبيق من وزارة الإعلام اللبنانية يهدد خصوصية المواطنين

وزير الإعلام اللبناني، ملحم رياشي، يطلق تطبيق “آي بوليس”. (الصورة من “الوكالة الوطنية للإعلام”، حزيران/يونيو 2018).

أطلقت وزارة الإعلام اللبنانية في الآونة الأخيرة تطبيقاً بإسم “آي بوليس” (Eye Police) يعمل كمنصّة تمكّن المستخدمين من التبليغ عن الشكاوى في لبنان، غير أنّه يشكّل تهديداً جدّياً لخصوصية المستخدمين كونه لا يتّخذ تدابير كافية لحماية بياناتهم الشخصية.

نموذج التسجيل في تطبيق “آي بوليس”، تموز/يوليو 2018.

أعلن وزير الإعلام اللبناني، ملحم رياشي، عن إطلاق تطبيق “آي بوليس” (Eye Police) في 12 تموز/يوليو. ويسمح التطبيق الذي حصل حتى الآن على 500 تنزيل على الأقلّ، بالتبليغ عن أيّ حالة أو حادثة مباشرة لوزارة الإعلام.

وقالت لور سليمان، مديرة “الوكالة الوطنية للإعلام” التي أسندت الوزارة إليها مهمة تلقي الشكاوى، إنّ “هذه مسؤولية أكبر حمّلنا إيّاها الوزير لنكون الوسيط بين المواطن والمسؤول في نقل مشاكله والعمل على حلها لتكون برسم المسؤول في أسرع وقت ممكن”.

تعمل “الوكالة الوطنية للإعلام”، بعد تلقّي الشكاوى من مستخدمي التطبيق، على نشر الشكوى على موقعها لنشرها على أوسع نطاق، من دون أن يتّضح ما إذا كانت “الوكالة الوطنية للإعلام” ستنشر جميع الشكاوى. بالإضافة إلى ذلك، يضمّ التطبيق نظاماً للحوافز، حيث يحصل المواطنون الذين يبلغون عمّا يُسمّى بـ”المخالفات الجدية” على جوائز، ولكنّ سليمان ورياشي لم يوضحا نوع التبليغ هذه المخالفات أو نوع الجائزة التي سيحصل عليها المستخدمون.

يتطلّب التطبيق كمّيات كبيرة من بيانات المستخدمين ويخزّنها من دون حماية على سيرفرات (مخدمات) مركزية تتحكّم بها شركة “سايبر ويفز” (CyberWaves)، وهي شركة خاصة لا تتيح الكثير من المعلومات عنها للجمهور. ومن أجل استخدام التطبيق، يحتاج المستخدمون إلى تقديم أرقام هواتفهم، والإسم الكامل، وإنشاء كلمة مرور.

كذلك يطلب التطبيق الكثير من الأذونات من مستخدمي أجهزة “أندرويد” (Android) وهي قد تشكل انتهاكا لخصوصيتهم، من ضمنها الإذن بتسجيل الصوت (RECORD_AUDIO) الذي يعطي التطبيق القدرة على تسجيل الصوت.

ACCESS_NETWORK_STATE Allows applications to access information about networks
ACCESS_WIFI_STATE Allows applications to access information about Wi-Fi networks
CAMERA Required to be able to access the camera device.
GET_ACCOUNTS Allows access to the list of accounts in the Accounts Service
INTERNET Allows applications to open network sockets
READ_EXTERNAL_STORAGE Allows an application to read from external storage.
READ_PHONE_STATE Allows read only access to phone state.
RECORD_AUDIO Allows an application to record audio
SYSTEM_ALERT_WINDOW Allows an application to open windows using the type TYPE_SYSTEM_ALERT, shown on top of all other applications.
BIND_GET_INSTALL_REFERRER_SERVICE Unknown permission
C2D_MESSAGE Unknown permission
MAPS_RECEIVE Unknown permission Unknown permission
MAPS_RECEIVE Unknown permission
READ_GSERVICES Unknown permission
RECEIVE Unknown permission
REQUEST_INSTALL_PACKAGES Unknown permission
VIBRATE Allows access to the vibrator
WAKE_LOCK Allows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming
WRITE_EXTERNAL_STORAGE Allows an application to write to external storage

ويمكن لشركة “سايبر ويفز” ووزارة الإعلام الحصول على معلومات عن المستخدمين أنفسهم من خلال الإذن بمعرفة الحسابات على الجهاز (GET_ACCOUNT) الذي يمكّن المسؤولين عن التطبيق من معرفة معلومات عن كلّ الحسابات الموجودة على الهاتف. بالإضافة إلى ذلك، فإنّ الإذن بمعرفة حالة الهاتف (READ_PHONE_STATE) يسمح للمسؤولين عن التطبيق بمعرفة “الهوية الدولية للاجهزة المتنقلة” (IMEI) الخاصة بالهاتف، والتي تُعتبر رقم تعريف فريداً. وكلّ هذه المعلومات تمكّن كلّاً من “سايبر ويفز” ووزارة الإعلام من تتبّع الأجهزة التي تنزّل تطبيق “آي بوليس”.

تشكّل بعض الأذونات الأخرى خطراً بطبيعة الحال، مثل الإذن بفتح قفل الهاتف (WAKE_LOCK) الذي يسمح للتطبيق بأن يبقى نشطاً حتّى عندما يكون الهاتف مقفلاً. عادةً ما يطلب المطوّرون هذا الإذن من اجل عمليات التحميل والتنزيل الضخمة، وهذا يعني أنّ مطوّري “آي بوليس” قد يعتزمون تنزيل معلومات إضافية على هواتف المستخدمين. وعلاوةً على ذلك، فإن الإذن بالوصول إلى حالة الوايفاي (ACCESS_WIFI_STATE) قد يُستخدم لتحديد الموقع الجغرافي لأجهزة الوايفاي التي يتصل بها الهاتف.

ومما يلفت الانتباه أيضاً، أنّ جميع الأذونات المعنونة كأذونات غير معروفة (“unknown”) تتوافق مع وظائف لبرمجيات “أندرويد” قديمة، أو أنّها مستوردة من مصادر خارجية. يوضح استخدام هذه الأذونات أنّ شركة “سايبر ويفز” (CyberWaves) المطوّرة للتطبيق لم تأخذ عملية تطوير التطبيق على محمل الجدّ.

عنوان بروتوكول الإنترنت (IP) الخاص بالسيرفر، 2018.

أهمل مطوّرو التطبيق خصوصية البيانات التي تنقل إلى السيرفرات الخاصة بهم. فقد تمكّنت “سمِكس” من معرفة “بروتوكول الإنترنت” (IP) الخاص بالسيرفر والبروتوكول الذي يستخدمه، وهو 45.40.138.24، من من خلال إجراء القليل من “الهندسة العكسية” (reverse-engineering).

ومن المثير للإهتمام أيضاً أنّ الاتصال بين تطبيق “آي بوليس” لأجهزة “أندرويد” والسيرفر لا يخضع لأيٍّ من معايير الحماية للحماية لحفظ البيانات. وليس هناك أي تشفير لـ”طبقة المنافذ الآمنة” (Secure Sockets Layer) لتبادل البيانات مع الواجهة البرمجية (API)، ما يسّهل على المقرصنين تنفيذ هجمات “الرجل في المنتصف” (man-in-the-middle) والوصول إلى بيانات المستخدمين المنقولة. من دون “طبقة منافذ آمنة” (SSL)، تُرسَل البيانات على شكل نصّ عادي، ما يتيح للمستخدمين الخبيثين أو الكيانات الحكومية بجمع حزم البيانات (network packets).

عنوان بروتوكول الإنترنت (IP) الخاص بالواجهة البرمجية، 2018.

بعد تحديد عنوان بروتوكول الإنترنت (IP) الخاص بالواجهة البرمجية، لاحظت “سمِكس” أنّ المطورين تركوا السيرفر مكشوفاً أمام العموم.

من هي “سايبر ويفز” وماذا تفعل؟

بالكاد تظهر شركة “سايبر ويفز” (CyberWaves) على محرّكات البحث، لذلك قامت سمكس باستخدام “كالي لينكس” (Kali Linux) لإجراء هندسة عكسية لتطبيق “آي بوليس” واكتشاف المزيد عن هذه الشركة وتقييم قدرتها على حماية بيانات المستخدمين. عملنا على مسح الكود للحصول على عنوان برتوكول الإنترنت (IP) والواجهة البرمجية (API)، وبعد ذلك أجرينا بحثاً عكسياً في بروتوكول الإنترنت (reverse IP lookup) للتحقق من النطاقات التي تتشارك عنوان بروتوكول الإنترنت نفسه، فأظهر لنا هذه اللائحة:

  1. Arabpacific.org
  2. Beyondassociation.org
  3. Bmpcenter.com
  4. Building-decoration.com
  5. Cbra-lb.org
  6. Chehablawfirm.com
  7. Eyepolice.net
  8. Ip-45-40-138-24.ip.secureserver.net
  9. J-jrealestate.com
  10. Johnnyrentacar.com
  11. Khabaronline.com
  12. Lumidentclinic.com
  13. Lumident-lb.com
  14. Mca-realestate.com
  15. Mnarconstruction.com
  16. Naimco.com
  17. Saadehcf.org
  18. Superior-tt.com
  19. Tahawolat.net
  20. T-marbouta.com
  21. Transportarabia.com
  22. Webperspective.net
  23. www.building-decoration.com
  24. www.cbra-lb.org
  25. www.lumident-lb.com
  26. www.tahawolat.net
  27. www.transportarabia.com
  28. www.webperspective.net

تشتبه “سمِكس” في أن تكون وكالة webperspective.net لتصميم المواقع الإلكترونية، والتي تتّخذ من بيروت مركزاً لها، هي من يقف وراء تصميم التطبيق أو أنّها على الأقلّ تابعة لشركة “سايبر ويفز” لأنّ “ويب بيرسبيكتيف” (Web Perspective) والواجهة البرمجية لتطبيق “آي بوليس” موجودان على السيرفر نفسه.

في ظلّ إطار قانوني ضعيف لحماية البيانات في لبنان، يثير تطبيق “آي بوليس” وشراكة وزارة الإعلام مع شركة “سايبر ويفز” مخاوف جدية. كما أنّ تقاعس وزارة الإعلام عن اتّخاذ الحدّ الأدنى من التدابير لحماية الخصوصية يؤكّد على الحاجة المحلّة لوضع قوانين أقوى لحماية الخصوصية في لبنان.

تنصح “سمِكس” المواطنين بالابتعاد عن هذا التطبيق وغيره من التطبيقات المماثلة التي قد تطلقها الجهات الحكومية مستقبلاً، إلى حين التزامها الكامل بحماية البيانات الشخصية للمواطنين.

كتب هذه المقالة راغب غندور ، وهو طالب ومساهم مع “سمِكس”.

Read in English.

, , , , , , , , , , , , , , ,

Powered by WordPress. Designed by Woo Themes