پرونده امنیت - بخش چهارم - آیا بلک‌ بری، همان‌قدر که گفته می‌شود، امن است؟

همیشه زمانی که از امنیت سیستم عامل‌های موبایل حرفی به میان می‌آید، بی‌شک نام بلک‌بری به ذهنتان خطور می‌کند. بلک‌بری امنیت شناخته‌شده خود را در صنعت موبایل مدیون سیستم‌عامل منحصر‌به‌فردش است. به‌جرئت می‌توان گفت این گوشی کانادایی تا زمانی که به ورژن 10 خود آپدیت نشده بود یکی ازمحکم‌ترین دیوارهای دفاعی اشخاص و سازمان‌های سیاسی و نظامی در مقابل متجاوزان دنیای مجازی و افرادی بود که قصد داشتند به ایمیل‌های شخصی و سازمانی آنها دسترسی یابند. یکی از شاخص‌ترین علاقه‌مندان به این کمپانی رئیس جمهور امریکاست که تا همین اواخر نیز تمایلی به تعویض بلک‌بری خود نداشت.

بعد از پیشنهاد خرید شرکت در سال ۲۰۱۳ از طرف بزرگ‌ترین سهام‌دار بلک‌بری، FariFax Financial، و پرداخت هزینه ۴.۷ میلیارد دلاری، سهام این کمپانی جان دوباره گرفت. اما پس از آن دوباره، با عدم فروش موفق پرچم‌داران در سال 2013 و سقوط سهام، مدیرعامل وقت، Thorsten Heins، برکنار شد و مدیرعامل کنونی، John Chen، جانشین وی شد. از زمان مدیریت آقای هینس نسخه جدید سیستم عامل معرفی شد؛ یعنی BlackBerry 10 که به آن قابلیت نصب برنامه‌های اندروید نیز اضافه شده بود که البته، حتی با اینکه برنامه‌ها روی یک شبیه‌ساز نصب می‌شوند، باعث ایجاد حفره‌های امنیتی می‌شد. دقیقا از همان زمان برخی مشکلات شروع به خودنمایی کردند. بلک‌بری یک کمپانی با مشتریانی از سازمان‌ها و اشخاص خاص دولتی و نظامی است؛ پس مهم‌ترین عامل در تولیداتش نیز امنیت است. اما بلک‌بری متاسفانه با رد شدن نسخه BB10 در تست UK CESG (گروه امنیت ارتباط الکترونیک انگلستان) محبوبیت خود را بیش‌ازپیش از دست داد و با فروش پایین محصولاتش، مجبور شد برای حفظ شرکت تعدیل نیرو کند، تا جایی که شرکت‌هایی مانند هوآوی، لنوو، شیائومی و در نهایت مایکروسافت پیشنهاد خرید این کمپانی را به مبلغ 7 میلیارد دلار مطرح کردند.

مشکلاتی که در بلک‌بری خودنمایی کردند

1. به‌روزرسانی‌های مرحله‌ای 

بعد از آپدیت این سیستم عامل به نسخه 10 و تست آن روی Z10، این شرکت متوجه مجوز نصب برنامه‌هایی شد که به بانک نرم‌افزاری بلک‌بری اضافه شده بودند، از جمله بدافزارهایی که چون در این بانک ثبت شده‌اند نیازی به تایید نصب در گوشی ندارند. همان‌طور که می‌دانید، مرکز برنامه‌های بلک‌بری (BlackBerry World) جزو امن‌ترین مکان‌ها برای دریافت برنامه است، اما زمانی که هر فرد یا شرکتی امکان ثبت نرم‌افزارش را در بلک‌بری داشته باشد (هرچند باید برای ثبت، از چندین لایه امنیتی ثبت نرم‌افزار عبور کند) و شما هم به‌غیر از این مرکز بتوانید از هرجایی برنامه دریافت کنید، برنامه نصب‌شده دیگر لزوما از امنیت کافی برخوردار نخواهد بود و ممکن است حاصل کدنویسی مخرب هر فرد سودجویی باشد. عامل بحرانی در این آسیب‌پذیری آن است که این رخنه امنیتی ممکن است کاربر دستگاه را برای نصب برنامه‌ای کاربردی فریب دهد؛ برنامه‌ای که می‌تواند از طریق BlackBerry Protect رمز عبور دستگاه را تغییر دهد. درنتیجه با وجود آن که دستگاه در دست کاربر است، داده‌های دستگاه در اختیار هکرها قرار می‌گیرد. بلک‌بری 10 نسخه 10.0.10.261 و نسخه‌های قبل از آن، به‌استثنای نسخه 10.0.9.2743، تحت تاثیر این رخنه امنیتی قرار دارند، اما BlackBerry 7 و نسخه‌های پیش از آن از این آسیب‌پذیری در امان‌اند.

2. شبه‌تروجان Flexi Spy

این ویروس درواقع نرم‌افزاری است که می‌تواند وارد ایمیل کاربران تلفن همراه شود و همچنین قادر است مکان کاربر را پیگیری کند و میکروفون گوشی را فعال سازد. درحالی‌که هنوز در رده‌بندی این بدافزار به‌عنوان ویروس «تروجان» جای بحث وجود دارد، ارتقای این نرم‌افزار نگرانی شدید کاربران تلفن همراه را برانگیخته است.
دیک رونالد، مدیر شرکت Vervata و سازنده این نرم‌افزار جاسوسی، که مقرش در بانکوک است، عقیده دارد این نرم‌افزار استفاده‌های مثبتی دارد. برای مثال، والدین می‌توانند فرزندانشان را به این وسیله کنترل کنند. اما حتی اگر برنامه‌ای کنترلی و نظارتی باشد، به‌راحتی امکان جاسوسی از گوشی‌تان را فراهم می‌کند، ازجمله شنود از راه دور مکالمات و پیام‌ها و ایمیل‌ها، و می‌تواند حتی بدون برقراری تماس میکروفون گوشی را روشن کند و مکالمات افراد حاضر در محدوده را شنود کند.

 
3. (Pin To Pin (Personal Identification Number
این سرویس ویژه گوشی‌های بلک‌بری است و وظیفه‌اش رمزنگاری اطلاعات قبل از ارسال و بازگشایی اطلاعات رمزنگاری شده قبل از نمایش در دستگاه کاربر است. این کدگذاری به شیوه متقارن انجام می‌شود، اما باز هم اگر کسی به یک سوی این کدگذاری دسترسی پیدا کند، می‌تواند این اطلاعات را تحت‌الشعاع قرار دهد. حال اگر فردی گوشی‌اش را تعویض کند، این اطلاعات در گوشی می‌ماند و قابل دسترسی است. این سرویس منحصر به گوشی است، اما اکثر کاربران را به اشتباه می‌اندازد که با تعویض گوشی این اطلاعات جابه‌جا می‌شود.

4. دوراهی امنیت یا سود
همان‌قدر که امنیت اهمیت ویژه دارد، سوددهی این شرکت نیز مهم است. شرکت RIM هرچند تمام رمزنگاری‌ها را فقط در یکی از دو شرکت ریم انگلستان یا کانادا انجام می‌دهد، بعضی کشورها به این اطلاعات نیاز دارند و شرط استفاده عموم از این سرویس‌ها را داشتن این اطلاعات رمزنگاری‌شده می‌دانند. بنابراین بلک‌بری مجبور است به‌نوعی با دولت این کشورها همکاری کند و این موضوع  خود نوعی ریسک به حساب می‌آید. چین، عربستان، هند، امریکا و چند کشور دیگر به این اطلاعات دسترسی دارند و به همین دلیل خیلی وقت‌ها توصیه می‌شود هنگام سفر به این کشورها از این برند استفاده نکنید.

دو عاملی که بلک‌بری را بار دیگر به سمت امنیت بیشتر پیش می‌برد

تا اینجا فقط حفره‌های امنیتی بلک‌بری را شرح دادیم. در ادامه به دو موردی اشاره می‌کنیم که بلک‌بری برای حل مشکلات امنیتی در نظر گرفته است.

1. BlackBerry AES 256
تونلی مجازی و حفاظت‌شده که برای امنیت بیش‌ازپیش تماس‌ها، پیام‌ها وایمیل‌ها در نظر گرفته شده است. این تونل نیازی به متصل شدن ندارد و همیشه و همه‌جا قابل استفاده است.

2. BlackBerry Balance 
ایجاد دو دسترسی (Profile) جداگانه، برای تفکیک حریم خصوصی و سازمانی. این تکنولوژی مناسب افرادی است که از بلک‌بری در سازمان‌ها و اداراتی استفاده می‌کنند که بر تلفن همراه نظارت دارند و این کاربران نمی‌خواهند سازمان به اطلاعات شخصی آنها دسترسی پیدا کند. همچنین برای افرادی خوب است که نیاز دارند در بیرون سازمان کسی به اطلاعاتشان دسترسی نداشته باشد.

و اما مزایای بلک‌بری نسبت به سایر سیستم عامل‌ها

1. ایمیل‌ها قبل از تحویل به شخص به‌وسیله سرور بلک‌بری موسوم به BlackBerry Enterprise Server، که به‌اختصار BES نامیده می‌شود، فرستاده می‌شوند تا  رمزنگاری شوند. این روش به‌کلی مستقل از تاییدیه‌ها یا گواهی certificate های‌عمومی است.
در سیستم عامل iOS و اندروید اوضاع به این شکل نیست، درنتیجه کسانی که قصد نفوذ به شبکه موبایل را داشته باشند و بتوانند به‌صورت قانونی وارد سیستم صدور گواهی دیجیتال شوند، می‌توانند ایمیل‌های ActiveSync را، که به آی‌دیوایس یا گجت اندرویدی شما فرستاده می‌شوند، بخوانند!

2. BES ویژگی‌‌ای به نام ریزسازی کنترل امنیتی (Access Control Granularity) دارد که بسیار بهتر از سیستم عامل‌های iOS و اندروید است. البته این مشکل در این دو سیستم عامل در حال برطرف شدن است.

3. اپلیکیشن‌های بلک‌بری‌ از طریق کد جاوا نوشته می‌شوند که امکان حمله به سطح سیستم عامل را کاهش می‌دهد.

4. مکانیسم رمزنگاری RIM در سخت‌افزار و نرم‌افزار با هم ادغام شده است که سطحی از محافظت از اطلاعات برای گوشی‌های گم‌شده فراهم می‌آورد تا دسترسی افراد سودجو را در چنین شرایطی کمتر کند. این ویژگی در iOS و اندروید دیده نمی‌شود.

و در نهایت بلک‌بری آقای رئیس جمهور

هرچند باراک اوباما، حتی بعد از انتخابات، حاضر نشد بلک‌بری‌اش را کنار بگذارد، دولت امریکا به‌کمک سازمان امنیت ملی امریکا (NSA) برای انجام دادن فعالیت‌ها و ارسال و دریافت ایمیل‌های اداری وی، طی برنامه‌ای و با هزینه ۱۸ میلیون دلار، گوشی‌های دیگری با سیستم عامل ویندوز (Windows CE) ساخت. این دو گوشی هوشمند ویندوزی Sectera Edge و L3 Guardian  نام داشتند. اما در حال حاضر دولت امریکا در حال بررسی دو گزینه است: اول گوشی سامسونگ با سیستم عامل اندروید به‌همراه سامانه امنیتی Knox (تکنولوژی‌ای همانند بلک‌بری بالانس) و دیگری محصولات برند ال‌جی. این دولت به‌وضوح اعلام کرده که آیفون جزو گزینه‌های انتخابی نیست.
البته به‌شخصه معتقدم بلک‌بری با شعار حفظ حریم شخصی بهتر از هر برند دیگری به این موضوع پرداخته است و در این زمینه، در مقایسه با سایر برندهایی که برای عقب نماندن از چرخه رقابت به این سمت کشیده می‌شوند، تجربه بیشتری دارد.

شما چقدر به امنیت بلک‌بری اطمینان دارید؟ آیا فکر می‌کنید همچنان بایستی بلک‌بری انتخاب اول کسانی باشد که دغدغه اصلی آن میزان امنیت تلفن هوشمندشان است؟