ممیزی حریم خصوصی ضدبدافزار بیت‌بان، ثبت پنهانی تصویر با دوربین، رمزنگاری ضعیف گذرواژه‌ها، اسکن شبکه، و ردیابی گسترده را آشکار می‌کند؛ شکست‌هایی در حریم خصوصی که در اپلیکیشنی که کاربران ایرانی برای حفاظت از خود به آن اعتماد می‌کنند و در حوزه قضایی فاقد نظارت مستقل بر حفاظت از داده فعالیت دارد، به‌ویژه خطرناک‌اند.

ممیزی حریم خصوصی به روش جعبه سیاه از اپلیکیشن اندرویدی ضدبدافزار بیت‌بان، نسخه ۳٫۲٫۳، نقض‌هایی در حریم خصوصی را آشکار کرده است که در هر زمینه‌ای نگران‌کننده‌اند، اما وقتی در چشم‌انداز نظارتی ایران بررسی شوند، اهمیت و سنگینی متفاوتی پیدا می‌کنند.

این ممیزی در بازه‌ای محدود و سه‌روزه در ماه‌های ژوئن و ژوئیه ۲۰۲۵، از طریق مهندسی معکوس فایل‌های APK دریافت‌شده از مایکت و کافه‌بازار انجام شد. بررسی‌ها قابلیت ثبت پنهانی تصویر با دوربین، حفاظت‌های رمزنگاری ضعیف در مدیر گذرواژه داخلی، اسکن دستگاه‌های شبکه محلی، و ارسال گسترده تله‌متری به زیرساخت‌های تحلیلی شخص ثالث را شناسایی کرد. هیچ در پشتی، آسیب‌پذیری اجرای کد از راه دور، یا اکسپلویت سطح روت شناسایی نشد.

اما ماهیت آنچه پیدا شد، یعنی ثبت پنهانی تصویر، شمارش و فهرست‌برداری از شبکه، و انگشت‌نگاری دستگاه، به‌طرزی نگران‌کننده با قابلیت‌هایی هم‌پوشانی دارد که ابزارهای نظارتی برای فراهم‌کردن آن طراحی می‌شوند؛ حتی اگر نیت پشت پیاده‌سازی بیت‌بان کاملا متفاوت بوده باشد.

بیت‌بان خود را به عنوان یک مجموعه جامع امنیت موبایل برای کاربران ایرانی معرفی می‌کند و قابلیت‌هایی مانند اسکن بدافزار، مدیر گذرواژه، و ابزارهای حفاظت از دستگاه ارائه می‌دهد. کاربرانی که یک اپلیکیشن امنیتی نصب می‌کنند، سطح بالاتری از اعتماد به آن می‌دهند؛ آن‌ها دقیقا به این دلیل مجوزها و دسترسی‌ها را اعطا می‌کنند که باور دارند اپلیکیشن قرار است از آن‌ها محافظت کند، نه آن‌ها را در معرض خطر قرار دهد. همین رابطه اعتماد، یافته‌های این ممیزی را به‌طور ویژه پیامدساز می‌کند.

در حوزه قضایی‌ای که حکومت توانایی مستند برای اجبار شرکت‌های فناوری داخلی به ارائه داده دارد، ابزارهای امنیتی می‌توانند به سلاح تبدیل شوند یا به خدمت گرفته شوند، و هیچ مرجع مستقلی برای ممیزی یا محدودکردن چنین رویه‌هایی وجود ندارد، فاصله میان یک اپلیکیشن امنیتی و یک بردار نظارتی زمانی به‌شدت کم می‌شود که خود اپلیکیشن چنین رویه‌های امنیتی ناکافی‌ای داشته باشد.

ثبت پنهانی تصویر با دوربین: Nosy Detector

نگران‌کننده‌ترین یافته، قابلیتی پنهان است که در داخل اپلیکیشن با عنوان «Nosy Detector» نام‌گذاری شده و هنگام وارد شدن گذرواژه اشتباه در صفحه قفل اپلیکیشن، بی‌صدا دوربین جلوی دستگاه را فعال می‌کند و عکس می‌گیرد. این فرایند بدون نمایش پیش‌نمایش، بدون اطلاع‌رسانی به کاربر، و بدون ارائه هیچ سازوکاری برای غیرفعال‌کردن آن انجام می‌شود. تصاویر ثبت‌شده به‌صورت محلی روی دستگاه ذخیره می‌شوند.

هدف ظاهری این قابلیت، یعنی شناسایی تلاش‌های دسترسی غیرمجاز، واقعیت فنی عملکرد آن را تغییر نمی‌دهد: این قابلیت بدون رضایت، بدون افشا، و بدون امکان انصراف، از هر کسی که دستگاه را در دست می‌گیرد، ثبت پنهانی داده بیومتریک انجام می‌دهد.

در ایران، جایی که قابلیت‌های تشخیص چهره برای اهدافی از جمله اجرای حجاب اجباری و شناسایی معترضان به کار گرفته شده‌اند، ثبت بی‌صدای تصویر چهره و ذخیره محلی آن توسط یک اپلیکیشن امنیتی پرنصب، پرسش‌هایی فراتر از نیت اعلام‌شده توسعه‌دهنده ایجاد می‌کند. تصاویر روی دستگاه وجود دارند. هر اپلیکیشن یا فرایندی که مجوز دسترسی به فضای ذخیره‌سازی داشته باشد، می‌تواند به آن‌ها دسترسی پیدا کند.

این تصاویر همچنین در اختیار هر کسی قرار می‌گیرند که به دستگاه دسترسی فیزیکی داشته باشد؛ از جمله در سناریوهای توقیف دستگاه که نیروهای امنیتی جمهوری اسلامی در زمینه بازداشت‌ها و بازجویی‌ها به‌طور مستند از آن استفاده کرده‌اند. فارغ از اینکه توسعه‌دهندگان بیت‌بان این قابلیت را به عنوان اقدام امنیتی در نظر گرفته باشند یا نه، اثر عملی آن ایجاد یک رکورد بیومتریک ذخیره‌شده روی دستگاه است؛ رکوردی که در دسترس رویه‌های تثبیت‌شده حکومت برای بازرسی دستگاه قرار می‌گیرد.

رمزنگاری ضعیف در مدیر گذرواژه‌ای که کاربران به آن اعتماد می‌کنند

بیت‌بان شامل یک مدیر گذرواژه داخلی است که از رمزگذاری AES در حالت CBC با padding از نوع PKCS5/PKCS7 استفاده می‌کند، اما هیچ سازوکار راستی‌آزمایی یکپارچگی یا اصالت ندارد. این طراحی آن را در برابر حملات padding oracle و دستکاری ciphertext آسیب‌پذیر می‌کند. تابع مشتق‌سازی کلید از PBKDF2WithHmacSHA1 تنها با ۱۰۰۰ تکرار استفاده می‌کند؛ رقمی بسیار پایین‌تر از حداقل ۶۰۰ هزار تکراری که OWASP توصیه می‌کند. ابزارگذاری Frida استفاده فعال در زمان اجرا از AES/CBC/PKCS7Padding را تایید کرد و هیچ حالت رمزنگاری احرازشده‌ای مشاهده نشد.

برای یک مدیر گذرواژه که در حوزه قضایی ایران فعالیت می‌کند، پیامدهای رمزنگاری ضعیف فراتر از یک آسیب‌پذیری انتزاعی است. کاربرانی در ایران که با خطر شخصی بالاتری روبه‌رو هستند، مانند کنشگران، روزنامه‌نگاران، وکلا، و اعضای اقلیت‌های قومی و مذهبی، ممکن است دقیقا برای حفاظت از دسترسی به حساب‌های حساس، ارتباطات، و منابع سازمانی از یک مدیر گذرواژه استفاده کنند.

پایگاه داده گذرواژه‌ای که تنها با ۱۰۰۰ تکرار PBKDF2 محافظت شده باشد، در بازه‌های زمانی عملی برای هر بازیگری با منابع پردازشی متوسط در برابر حمله brute force آسیب‌پذیر است. برای یک بازیگر حکومتی با زیرساخت اختصاصی، این سطح از حفاظت عملا صوری است. کاربرانی که به بیت‌بان برای حفاظت از حساس‌ترین اعتبارنامه‌های خود اعتماد کرده‌اند، در واقع آن اعتبارنامه‌ها را پشت قفلی گذاشته‌اند که یک مهاجم به اندازه کافی مصمم می‌تواند آن را بشکند.

اسکن شبکه، ردیابی مکان و انگشت‌نگاری دستگاه

این اپلیکیشن برای هدفی به‌طرز چشمگیری نامتناسب، یعنی محاسبه زمان طلوع و غروب خورشید برای تغییر حالت روشن و تاریک، مجوزهای موقعیت مکانی GPS و موقعیت‌یابی مبتنی بر شبکه را درخواست می‌کند؛ به جای آنکه از تنظیمات استاندارد تم سیستم استفاده کند.

استفاده از موقعیت جغرافیایی دقیق برای یک ویژگی ظاهری رابط کاربری از نظر فنی به‌سختی قابل توجیه است و در زمینه ایران بلافاصله این پرسش را ایجاد می‌کند که آیا داده مکانی با پوشش قابلیتی جمع‌آوری می‌شود که با روش‌هایی بسیار کم‌تهاجمی‌تر نیز قابل انجام است یا نه.

فراتر از مکان، اپلیکیشن داده‌های گسترده‌ای برای انگشت‌نگاری دستگاه جمع‌آوری می‌کند؛ از جمله مدل سخت‌افزار، سازنده دستگاه، نسخه سیستم‌عامل، کدهای اپراتور موبایل، منطقه زمانی، و زبان. این داده‌ها همراه با شناسه‌های تبلیغاتی GPS و UUIDهای اندروید، به سرورهای تحلیلی Adtrace در نقاط پایانی مستقر در اتحادیه اروپا، آمریکا، هند، چین، و ترکیه ارسال می‌شود. Adtrace، به عنوان یک پلتفرم تحلیلی با منشأ ایرانی، زیر همان فشارهای حوزه قضایی فعالیت می‌کند که دیگر شرکت‌های فناوری داخلی با آن روبه‌رو هستند.

داده‌هایی که این پلتفرم از کاربران بیت‌بان دریافت می‌کند، پروفایلی دقیق از هویت دستگاه و رفتار کاربر می‌سازد؛ پروفایلی که در محیطی قرار دارد که امکان دسترسی اجباری به داده در آن وجود دارد.

شاید نگران‌کننده‌ترین بخش، قابلیت نظارت اپلیکیشن بر شبکه محلی باشد. بیت‌بان دستگاه‌های وای‌فای اطراف را اسکن می‌کند و اطلاعات مربوط به آن‌ها را در یک پایگاه داده محلی ذخیره می‌کند؛ از جمله آدرس‌های IP، آدرس‌های MAC، و نام سازنده یا vendor. برای یک اپلیکیشن ضدبدافزار، شمارش و فهرست‌برداری شبکه در این سطح هیچ توجیه روشنی در چارچوب کارکرد امنیتی اعلام‌شده ندارد.

آنچه این قابلیت فراهم می‌کند، نقشه‌ای از محیط شبکه محلی کاربر است؛ دستگاه‌های اطراف او و زیرساختی که به آن وصل می‌شود. این نقشه به‌صورت محلی ذخیره می‌شود و برای هر فرایند یا بازیگری که به فضای ذخیره‌سازی دستگاه دسترسی داشته باشد، قابل دسترسی است. در زمینه رویه‌های تثبیت‌شده توقیف و بازرسی دستگاه در ایران، این نقشه شبکه محلی به رکوردی از محیط دیجیتال کاربر تبدیل می‌شود؛ رکوردی که قرار نبوده از تلفن او خارج شود، اما اکنون در اختیار هر کسی قرار می‌گیرد که دستگاه را در دست داشته باشد.

توصیه‌هایی برای کاربران

کاربرانی که تصمیم می‌گیرند همچنان از بیت‌بان استفاده کنند، باید فورا از طریق تنظیمات دستگاه، مجوزهای دوربین، موقعیت مکانی، پیامک، فضای ذخیره‌سازی، و دستگاه‌های نزدیک را لغو کنند. لغو دسترسی دوربین برای جلوگیری از ثبت پنهانی تصویر توسط قابلیت Nosy Detector حیاتی است. مجوز موقعیت مکانی باید به‌طور کامل رد شود، زیرا اپلیکیشن برای تغییر تم به یک بازه زمانی hardcoded بازمی‌گردد. با توجه به پیاده‌سازی رمزنگاری ضعیف، نباید برای ذخیره اعتبارنامه‌های حساس به مدیر گذرواژه این اپلیکیشن اعتماد کرد.

کاربران باید بدانند مجموعه قابلیت‌های موجود در این اپلیکیشن، یعنی ثبت تصویر چهره، نقشه‌برداری از دستگاه‌های شبکه، ردیابی دقیق مکان، و رمزنگاری ضعیف اعتبارنامه‌ها، سطح افشایی ایجاد می‌کند که در حوزه قضایی ایران به‌طور ویژه خطرناک است.

توسعه‌دهندگان از طریق افشای مسئولانه، همراه با توصیه‌های اولویت‌بندی‌شده برای اصلاح مشکلات، در جریان یافته‌ها قرار گرفته‌اند؛ با شروع از اطلاع‌رسانی فوری به کاربران و اخذ رضایت opt in برای قابلیت دوربین، و سپس ارتقای رمزنگاری و کمینه‌سازی داده در همه عملکردهای ردیابی و تله‌متری.

ضدبدافزار بیت‌بان روشن‌ترین نمونه از مشکلی را نشان می‌دهد که در سراسر اکوسیستم اپلیکیشن‌های داخلی ایران دیده می‌شود: اپلیکیشن‌هایی که خود را محافظ امنیت کاربر معرفی می‌کنند، اما هم‌زمان همان سطوح افشایی را ایجاد می‌کنند که کاربران را آسیب‌پذیر می‌سازد. چه این نتیجه حاصل سهل‌انگاری باشد و چه طراحی، پیامد یکی است.

کاربرانی که بیت‌بان را برای حفاظت نصب کرده‌اند، در عمل دستگاه‌های خود را به قابلیت‌هایی مجهز کرده‌اند که در مجموع نه یک ابزار امنیتی، بلکه یک ریسک را توصیف می‌کنند: تصویربرداری پنهانی، نقشه‌برداری شبکه، ذخیره اعتبارنامه با رمزنگاری ضعیف، و ردیابی پایدار دستگاه.