بیش از ۳ میلیون رأی غیر مجاز در نظرسنجی صداوسیما چگونه ارسال شد؟
به گزارش ایسنا، روزنامه شرق نوشت: «نظر شما: برنامه برنده باش»؛ این متن پیامکی بود که در چند روز گذشته به بسیاری از مشترکان تلفن همراه ارسال شد و تعداد زیادی از شهروندان را سر در گم و نگران کرد. ماجرایی که از جشنواره مردمی صداوسیما برای انتخاب برنامههای برگزیده آغاز شد اما به پروندهای عجیب و غریب تبدیل شده است. این اتفاق عجیب چگونه ممکن شد؟
چه اتفاقی افتاده؟
روز شنبه تعداد زیادی از شهروندان با پیامکی روبهرو شدند که نشان میداد در رأیگیری انتخاب بهترین برنامه سیما، به برنامه «برنده باش» رأی دادهاند؛ تشخیص این که چگونه یک شرکت متخلف موفق شده است از طرف بیش از سه میلیون مشترک تلفن همراه در نظرسنجی صداوسیما شرکت و به یک کاندیدای خاص رأی بدهد، آسان نیست. تا اینجای کار همه آن چه درباره این اتفاق میدانیم محدود به تعداد آرای غیر واقعی و ساعت ارسال آنهاست و این مسئله، فضای گمانهزنی از سوی کارشناسان فناوری اطلاعات را فراهم کرده است.
حسین رفیعی، کارشناس فناوری اطلاعات، در این باره به «شرق» میگوید: روشهای گوناگونی برای انجام چنین تقلبی وجود دارد. روش اول استفاده از بدافزارهایی است که به صورت ناخواسته روی تلفن همراه نصب میشوند و امکان ارسال کدهای دستوری یا پیامک را برای سازنده بدافزار فراهم میکنند. در این روش، سازنده بدافزار یک اپلیکیشن مخفی ایجاد میکند که میتواند از طرق گوناگون مانند کلیککردن روی یک لینک ناشناس، بازکردن ایمیلی آلوده یا نصب برنامهای از روشهای غیر امن و اپمارکتهای غیر رسمی، روی تلفن همراه مخاطب نصب شود. این اپلیکیشن مخفی در نگاه اول در بین برنامههای کاربر نمایش داده نمیشود اما در صورت مراجعه به قسمت تنظیمات گوشی میتوان آن را پیدا کرد. چنین برنامهای میتواند پس از نصب، امکان خواندن و نوشتن پیامک، ارسال کدهای دستوری ussd یا دسترسی به دیگر امکانات تلفن همراه را داشته باشد و در موارد مشابهی مشاهده شده که تعداد بسیار زیادی تلفن همراه به چنین بدافزارهایی آلوده شده باشند، اما به دو دلیل احتمال آن که چنین اتفاقی در مورد این تقلب افتاده باشد بعید است.
اولین دلیل این است که این شیوه استفاده از بدافزار تنها محدود به تلفنهای همراه اندرویدی است، درحالیکه برخی از کاربران که پیامک شرکت در مسابقه را دریافت کردهاند تلفن همراه آیفون دارند و این احتمال استفاده از چنین روشی را برای تقلب به شدت کاهش میدهد.
نکته دوم این است که اگر از این روش تقلب استفاده میشد، کنترلکننده بدافزار میتوانست پیامک دریافتی کاربران را نیز پیش از آن که توسط آنها خوانده شود در کسری از ثانیه پاک کند و با توجه به این که این پیامکها پاک نشده است میتوانیم بگوییم امکان استفاده از بدافزار در این مورد منتفی است.
رفیعی در توضیح روش فنی دیگر برای انجام چنین تقلبی میگوید: یک روش دیگر برای چنین تقلبی، دسترسی غیر مجاز به دکلهای BTS مخابراتی است که از نظر فنی ممکن است و سابقه آن در خارج از کشور وجود داشته و در دفعات گوناگون گزارش شده است. در این روش هکر میتواند با رخنه در نرمافزاری که از سوی ایستگاههای BTS استفاده میشود به شبکه متصل شود و تلفنهای همراهی را که در محدوده آن دکل قرار دارند و از آن برای اتصال به شبکه استفاده میکنند مورد حمله و سوءاستفاده قرار دهد. با این حال استفاده از چنین روشی برای یک تقلب که امکان افشای آن وجود دارد نیز بعید به نظر میرسد، زیرا اولاً حجم آرایی که جابهجا شدهاند آن قدر زیاد است که امکان نفوذ از یک یا چند دکل را منتفی میکند و از سوی دیگر انجام چنین کاری با توجه به حساسیت بسیار بالای آن یک جرم سنگین تلقی میشود و قبول خطر آن نیازمند منافعی بیشتر از پیروزی در یک نظرسنجی است.
این کارشناس فناوری اطلاعات درباره ایمنی سرویس ussd اضافه میکند: بارها و بارها درباره امنیت این سرویس هشدار داده شده، زیرا در این پروتکل از هیچ نوع رمزنگاری برای اطلاعات استفاده نمیشود و هر واسطهای که بین گیرنده و فرستنده قرار بگیرد میتواند به آن دسترسی آسان پیدا کند و به همین دلیل است که بانک مرکزی قبلاً درباره استفاده از این سرویس برای نقلوانتقالات حسابهای بانکی هشدارهای جدی داده است. یک نفوذگر خبره یا شرکتی که امکانات فنی مناسب داشته باشد میتواند بهعنوان واسطه بین کاربر و شبکه واقعی قرار بگیرد و فرمانهای دلخواه خود را صادر کند و از آنجا که احراز اصالت کاربر در این پروتکل معنا ندارد، وقوع حملات آن را نیز نمیتوان به راحتی تشخیص داد یا ردیابی کرد.
رفیعی در پایان اضافه میکند: این اتفاق بهانه خوبی است تا وزارت ارتباطات و فناوری اطلاعات تعارف را کنار بگذارد و برخوردی جدی با شرکتهایی که امنیت کاربران را جدی نمیگیرند انجام دهد. ما در گذشته شاهد افشای اطلاعات مخاطبان یک اپراتور تلفن همراه بودیم که سرانجام آن چندان روشن نشد، امیدوارم اینبار توضیحات روشنی درباره چگونگی انجام این تخلف و تنبیه متخلفان ارائه شود.»