گزارش تازه رازنت درباره اپلیکیشن RTA Keyboard یا «کیبورد ملی»، از یک نقطه ظاهرا ساده شروع می‌شود: یک اپلیکیشن کیبورد وابسته به رادیو تلویزیون افغانستان. اما بررسی فنی این نمونه نشان می‌دهد که در محیط‌هایی مانند افغانستان تحت کنترل طالبان، حتی یک کیبورد موبایل هم می‌تواند به مسئله‌ای جدی در حوزه امنیت، حریم خصوصی و نظارت دیجیتال تبدیل شود.

لینک نسخه کامل گزارش تحلیلی رازنت از اپلیکیشن «کیبورد ملی»

نقطه شروع این تحقیق، گزارشی بود که افغانستان اینترنشنال در ماه مه ۲۰۲۶ منتشر کرد. این رسانه به نقل از منابع آگاه گزارش داد که مقام‌های طالبان و جمهوری اسلامی ایران در توسعه یک اپلیکیشن موبایل با قابلیت احتمالی رصد کاربران داخل افغانستان همکاری کرده‌اند. گزارش افغانستان اینترنشنال، این اپلیکیشن را در زمینه‌ای حساس قرار می‌داد: همکاری احتمالی میان دو ساختار اقتدارگرا که هر دو سابقه یا انگیزه روشن برای کنترل اطلاعات، محدود کردن جامعه مدنی و زیر نظر گرفتن مخالفان دارند.

بر همین اساس، تیم فورنزیک رازنت سراغ نمونه اندرویدی اپلیکیشن RTA Keyboard رفت؛ اپلیکیشنی که با نام «کیبورد ملی» نیز شناخته می‌شود و با رادیو تلویزیون افغانستان، رسانه دولتی تحت کنترل طالبان، مرتبط است. نسخه بررسی‌شده، نسخه ۱.۴ اپلیکیشن با نام بسته com.etimadi.testkeyboard بود. بررسی رازنت از نوع تحلیل ایستا بود؛ یعنی کد، مجوزها، نقاط ارتباطی، داده‌های سخت‌کدشده، لاگ‌ها و ساختار امنیتی اپلیکیشن بررسی شد، اما این بررسی شامل آزمایش کامل رفتار زنده اپلیکیشن در زمان اجرا یا رهگیری جامع ترافیک شبکه نبود. همین مرزبندی مهم است، چون گزارش رازنت ادعا نمی‌کند که رفتار قطعی جاسوس‌افزاری یا عملیات عمدی کی‌لاگینگ را اثبات کرده است. یافته اصلی چیز دیگری است: این اپلیکیشن، به دلیل ماهیتش به عنوان کیبورد و به دلیل ضعف‌های امنیتی شناسایی‌شده، برای کاربران پرریسک، بسیار نگران‌کننده است.

یافته فنی اصلی این است که در کد دیکامپایل‌شده اپلیکیشن، یک کلید OpenAI API به صورت hardcoded قرار داده شده است. اپلیکیشن از این کلید برای ارتباط با endpoint مربوط به chat/completions استفاده می‌کند و ظاهراً این قابلیت برای ترجمه هوشمند درون کیبورد طراحی شده است. اما مسئله اینجاست که اپلیکیشن، متن واردشده توسط کاربر را به prompt تبدیل می‌کند و آن را به زیرساخت بیرونی هوش مصنوعی می‌فرستد. در یک اپلیکیشن معمولی ترجمه، چنین رفتاری هم نیازمند شفافیت و رضایت آگاهانه کاربر است؛ در یک کیبورد، حساسیت چند برابر می‌شود، چون متن تایپ‌شده می‌تواند شامل پیام خصوصی، رمز عبور، اطلاعات مالی، داده شخصی، ارتباطات سیاسی یا محتوای محرمانه سازمانی باشد.

یافته دوم، ثبت ناامن داده‌های حساس در لاگ‌های اندروید است. گزارش رازنت می‌گوید اپلیکیشن داده‌هایی مانند کلید API، پاسخ‌های API، متن ترجمه‌شده کاربر و جزئیات خطا را در لاگ‌ها ثبت می‌کند. این موضوع به تنهایی اثبات‌کننده نظارت عمدی نیست، اما سطح خطر افشای داده را بالا می‌برد؛ به‌ویژه روی دستگاه‌های روت‌شده، دستگاه‌های debug enabled، محیط‌های تحت نظارت، یا در سناریوهایی که دستگاه هدف استخراج فورنزیک قرار می‌گیرد.

در عین حال، گزارش با احتیاط تأکید می‌کند که این نمونه چند مجوز پرخطر کلاسیک را درخواست نکرده است؛ از جمله دسترسی به پیامک، مخاطبان، دوربین، میکروفون، موقعیت مکانی، سرویس‌های Accessibility یا دسترسی Device Admin. بنابراین، دقیق نیست که این اپلیکیشن را بر اساس شواهد فعلی، یک جاسوس‌افزار قطعی بنامیم. تعبیر دقیق‌تر این است که «کیبورد ملی» یک اپلیکیشن پرریسک از منظر حریم خصوصی و امنیت کاربران است؛ چون متن تایپ‌شده را پردازش می‌کند، آن را به سرویس بیرونی می‌فرستد، داده حساس را ناامن لاگ می‌کند و از نظر hardening تولیدی نیز ضعیف است.

اهمیت این گزارش فقط به افغانستان محدود نمی‌شود. این پرونده در امتداد پرسش بزرگ‌تری قرار می‌گیرد: آیا جمهوری اسلامی ایران در حال تبدیل تجربه داخلی خود در سرکوب دیجیتال، نظارت، کنترل ارتباطات و ابزارهای مبتنی بر داده به یک ظرفیت صادراتی است؟ RTA Keyboard می‌تواند یکی از نمونه‌های اولیه برای بررسی این الگو باشد؛ الگویی که در آن فناوری‌های ظاهراً خدماتی، در محیط‌های اقتدارگرا، به بخشی از زیرساخت بالقوه کنترل اجتماعی تبدیل می‌شوند.

این تحلیل، جاسوس‌افزار بودن عمدی اپلیکیشن را به طور قطعی ثابت نمی‌کند، اما مجموعه رفتارها و تصمیم‌های فنی شناسایی‌شده، محیطی پرخطر برای سوءاستفاده، نظارت یا افشای ناخواسته داده‌های حساس کاربران ایجاد می‌کند. تا زمانی که اصلاحات جامع، شفافیت درباره پردازش داده‌ها و اعتبارسنجی امنیتی مستقل انجام نشده، استفاده از این اپلیکیشن برای روزنامه‌نگاران، فعالان مدنی، زنان، مخالفان طالبان و دیگر کاربران آسیب‌پذیر توصیه نمی‌شود.