أطلقت وزارة الإعلام اللبنانية في الآونة الأخيرة تطبيقاً بإسم “آي بوليس” (Eye Police) يعمل كمنصّة تمكّن المستخدمين من التبليغ عن الشكاوى في لبنان، غير أنّه يشكّل تهديداً جدّياً لخصوصية المستخدمين كونه لا يتّخذ تدابير كافية لحماية بياناتهم الشخصية.
نموذج التسجيل في تطبيق “آي بوليس”، تموز/يوليو 2018.
أعلن وزير الإعلام اللبناني، ملحم رياشي، عن إطلاق تطبيق “آي بوليس” (Eye Police) في 12 تموز/يوليو. ويسمح التطبيق الذي حصل حتى الآن على 500 تنزيل على الأقلّ، بالتبليغ عن أيّ حالة أو حادثة مباشرة لوزارة الإعلام.
وقالت لور سليمان، مديرة “الوكالة الوطنية للإعلام” التي أسندت الوزارة إليها مهمة تلقي الشكاوى، إنّ “هذه مسؤولية أكبر حمّلنا إيّاها الوزير لنكون الوسيط بين المواطن والمسؤول في نقل مشاكله والعمل على حلها لتكون برسم المسؤول في أسرع وقت ممكن”.
تعمل “الوكالة الوطنية للإعلام”، بعد تلقّي الشكاوى من مستخدمي التطبيق، على نشر الشكوى على موقعها لنشرها على أوسع نطاق، من دون أن يتّضح ما إذا كانت “الوكالة الوطنية للإعلام” ستنشر جميع الشكاوى. بالإضافة إلى ذلك، يضمّ التطبيق نظاماً للحوافز، حيث يحصل المواطنون الذين يبلغون عمّا يُسمّى بـ”المخالفات الجدية” على جوائز، ولكنّ سليمان ورياشي لم يوضحا نوع التبليغ هذه المخالفات أو نوع الجائزة التي سيحصل عليها المستخدمون.
يتطلّب التطبيق كمّيات كبيرة من بيانات المستخدمين ويخزّنها من دون حماية على سيرفرات (مخدمات) مركزية تتحكّم بها شركة “سايبر ويفز” (CyberWaves)، وهي شركة خاصة لا تتيح الكثير من المعلومات عنها للجمهور. ومن أجل استخدام التطبيق، يحتاج المستخدمون إلى تقديم أرقام هواتفهم، والإسم الكامل، وإنشاء كلمة مرور.
كذلك يطلب التطبيق الكثير من الأذونات من مستخدمي أجهزة “أندرويد” (Android) وهي قد تشكل انتهاكا لخصوصيتهم، من ضمنها الإذن بتسجيل الصوت (RECORD_AUDIO) الذي يعطي التطبيق القدرة على تسجيل الصوت.
| ACCESS_NETWORK_STATE | Allows applications to access information about networks |
| ACCESS_WIFI_STATE | Allows applications to access information about Wi-Fi networks |
| CAMERA | Required to be able to access the camera device. |
| GET_ACCOUNTS | Allows access to the list of accounts in the Accounts Service |
| INTERNET | Allows applications to open network sockets |
| READ_EXTERNAL_STORAGE | Allows an application to read from external storage. |
| READ_PHONE_STATE | Allows read only access to phone state. |
| RECORD_AUDIO | Allows an application to record audio |
| SYSTEM_ALERT_WINDOW | Allows an application to open windows using the type TYPE_SYSTEM_ALERT, shown on top of all other applications. |
| BIND_GET_INSTALL_REFERRER_SERVICE | Unknown permission |
| C2D_MESSAGE | Unknown permission |
| MAPS_RECEIVE Unknown permission | Unknown permission |
| MAPS_RECEIVE | Unknown permission |
| READ_GSERVICES | Unknown permission |
| RECEIVE | Unknown permission |
| REQUEST_INSTALL_PACKAGES | Unknown permission |
| VIBRATE | Allows access to the vibrator |
| WAKE_LOCK | Allows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming |
| WRITE_EXTERNAL_STORAGE | Allows an application to write to external storage |
ويمكن لشركة “سايبر ويفز” ووزارة الإعلام الحصول على معلومات عن المستخدمين أنفسهم من خلال الإذن بمعرفة الحسابات على الجهاز (GET_ACCOUNT) الذي يمكّن المسؤولين عن التطبيق من معرفة معلومات عن كلّ الحسابات الموجودة على الهاتف. بالإضافة إلى ذلك، فإنّ الإذن بمعرفة حالة الهاتف (READ_PHONE_STATE) يسمح للمسؤولين عن التطبيق بمعرفة “الهوية الدولية للاجهزة المتنقلة” (IMEI) الخاصة بالهاتف، والتي تُعتبر رقم تعريف فريداً. وكلّ هذه المعلومات تمكّن كلّاً من “سايبر ويفز” ووزارة الإعلام من تتبّع الأجهزة التي تنزّل تطبيق “آي بوليس”.
تشكّل بعض الأذونات الأخرى خطراً بطبيعة الحال، مثل الإذن بفتح قفل الهاتف (WAKE_LOCK) الذي يسمح للتطبيق بأن يبقى نشطاً حتّى عندما يكون الهاتف مقفلاً. عادةً ما يطلب المطوّرون هذا الإذن من اجل عمليات التحميل والتنزيل الضخمة، وهذا يعني أنّ مطوّري “آي بوليس” قد يعتزمون تنزيل معلومات إضافية على هواتف المستخدمين. وعلاوةً على ذلك، فإن الإذن بالوصول إلى حالة الوايفاي (ACCESS_WIFI_STATE) قد يُستخدم لتحديد الموقع الجغرافي لأجهزة الوايفاي التي يتصل بها الهاتف.
ومما يلفت الانتباه أيضاً، أنّ جميع الأذونات المعنونة كأذونات غير معروفة (“unknown”) تتوافق مع وظائف لبرمجيات “أندرويد” قديمة، أو أنّها مستوردة من مصادر خارجية. يوضح استخدام هذه الأذونات أنّ شركة “سايبر ويفز” (CyberWaves) المطوّرة للتطبيق لم تأخذ عملية تطوير التطبيق على محمل الجدّ.
عنوان بروتوكول الإنترنت (IP) الخاص بالسيرفر، 2018.
أهمل مطوّرو التطبيق خصوصية البيانات التي تنقل إلى السيرفرات الخاصة بهم. فقد تمكّنت “سمِكس” من معرفة “بروتوكول الإنترنت” (IP) الخاص بالسيرفر والبروتوكول الذي يستخدمه، وهو 45.40.138.24، من من خلال إجراء القليل من “الهندسة العكسية” (reverse-engineering).
ومن المثير للإهتمام أيضاً أنّ الاتصال بين تطبيق “آي بوليس” لأجهزة “أندرويد” والسيرفر لا يخضع لأيٍّ من معايير الحماية للحماية لحفظ البيانات. وليس هناك أي تشفير لـ”طبقة المنافذ الآمنة” (Secure Sockets Layer) لتبادل البيانات مع الواجهة البرمجية (API)، ما يسّهل على المقرصنين تنفيذ هجمات “الرجل في المنتصف” (man-in-the-middle) والوصول إلى بيانات المستخدمين المنقولة. من دون “طبقة منافذ آمنة” (SSL)، تُرسَل البيانات على شكل نصّ عادي، ما يتيح للمستخدمين الخبيثين أو الكيانات الحكومية بجمع حزم البيانات (network packets).
عنوان بروتوكول الإنترنت (IP) الخاص بالواجهة البرمجية، 2018.
بعد تحديد عنوان بروتوكول الإنترنت (IP) الخاص بالواجهة البرمجية، لاحظت “سمِكس” أنّ المطورين تركوا السيرفر مكشوفاً أمام العموم.
من هي “سايبر ويفز” وماذا تفعل؟
بالكاد تظهر شركة “سايبر ويفز” (CyberWaves) على محرّكات البحث، لذلك قامت سمكس باستخدام “كالي لينكس” (Kali Linux) لإجراء هندسة عكسية لتطبيق “آي بوليس” واكتشاف المزيد عن هذه الشركة وتقييم قدرتها على حماية بيانات المستخدمين. عملنا على مسح الكود للحصول على عنوان برتوكول الإنترنت (IP) والواجهة البرمجية (API)، وبعد ذلك أجرينا بحثاً عكسياً في بروتوكول الإنترنت (reverse IP lookup) للتحقق من النطاقات التي تتشارك عنوان بروتوكول الإنترنت نفسه، فأظهر لنا هذه اللائحة:
-
- Arabpacific.org
-
- Beyondassociation.org
-
- Bmpcenter.com
-
- Building-decoration.com
-
- Cbra-lb.org
-
- Chehablawfirm.com
-
- Eyepolice.net
-
- Ip-45-40-138-24.ip.secureserver.net
-
- J-jrealestate.com
-
- Johnnyrentacar.com
-
- Khabaronline.com
-
- Lumidentclinic.com
-
- Lumident-lb.com
-
- Mca-realestate.com
-
- Mnarconstruction.com
-
- Naimco.com
-
- Saadehcf.org
-
- Superior-tt.com
-
- Tahawolat.net
-
- T-marbouta.com
-
- Transportarabia.com
-
- Webperspective.net
-
- www.building-decoration.com
-
- www.cbra-lb.org
-
- www.lumident-lb.com
-
- www.tahawolat.net
-
- www.transportarabia.com
- www.webperspective.net
تشتبه “سمِكس” في أن تكون وكالة webperspective.net لتصميم المواقع الإلكترونية، والتي تتّخذ من بيروت مركزاً لها، هي من يقف وراء تصميم التطبيق أو أنّها على الأقلّ تابعة لشركة “سايبر ويفز” لأنّ “ويب بيرسبيكتيف” (Web Perspective) والواجهة البرمجية لتطبيق “آي بوليس” موجودان على السيرفر نفسه.
في ظلّ إطار قانوني ضعيف لحماية البيانات في لبنان، يثير تطبيق “آي بوليس” وشراكة وزارة الإعلام مع شركة “سايبر ويفز” مخاوف جدية. كما أنّ تقاعس وزارة الإعلام عن اتّخاذ الحدّ الأدنى من التدابير لحماية الخصوصية يؤكّد على الحاجة المحلّة لوضع قوانين أقوى لحماية الخصوصية في لبنان.
تنصح “سمِكس” المواطنين بالابتعاد عن هذا التطبيق وغيره من التطبيقات المماثلة التي قد تطلقها الجهات الحكومية مستقبلاً، إلى حين التزامها الكامل بحماية البيانات الشخصية للمواطنين.
كتب هذه المقالة راغب غندور ، وهو طالب ومساهم مع “سمِكس”.
