أثار مسؤولو الأمن مخاوف بشأن تطبيق الأجهزة المحمولة للحكومة المصرية حيث أظهر تحليل بوليتيكو أنه يمكن الاستماع إلى المحادثات الخاصة والوصول إلى النصوص المشفرة.
حذر مستشارو الأمن الغربيون المندوبين في قمة المناخ COP27 من تنزيل تطبيق الهاتف الذكي الرسمي للحكومة المصرية المضيفة ، وسط مخاوف من إمكانية استخدامه لاختراق رسائل البريد الإلكتروني الخاصة بهم ، والنصوص ، وحتى المحادثات الصوتية.
كان صانعو السياسة من ألمانيا وفرنسا وكندا من بين أولئك الذين قاموا بتنزيل التطبيق بحلول 8 نوفمبر ، وفقًا لمسؤولين أمنيين غربيين منفصلين تم إطلاعهم على المناقشات داخل هذه الوفود في قمة المناخ للأمم المتحدة.
قال مسؤول آخر من حكومة أوروبية إن حكومات غربية أخرى نصحت المسؤولين بعدم تنزيل التطبيق. تحدث جميع المسؤولين بشرط عدم الكشف عن هويتهم لمناقشة المداولات الحكومية الدولية.
تم تأكيد الثغرة الأمنية المحتملة من تطبيق Android ، الذي تم تنزيله آلاف المرات ويوفر بوابة للمشاركين في COP27 ، بشكل منفصل من قبل أربعة خبراء في الأمن السيبراني قاموا بمراجعة التطبيق الرقمي لـ POLITICO.
يتم الترويج للتطبيق كأداة لمساعدة الحاضرين على التنقل في الحدث. لكنها تخاطر بمنح الحكومة المصرية الإذن بقراءة رسائل البريد الإلكتروني ورسائل المستخدمين. حتى الرسائل التي يتم مشاركتها عبر خدمات مشفرة مثل WhatsApp معرضة للخطر ، وفقًا لمراجعة POLITICO الفنية للتطبيق واثنين من الخبراء الخارجيين.
يوفر التطبيق أيضًا لوزارة الاتصالات وتكنولوجيا المعلومات المصرية ، التي أنشأتها ، ما يسمى بامتيازات الباب الخلفي الأخرى ، أو القدرة على فحص أجهزة الأشخاص.
على الهواتف الذكية التي تعمل ببرنامج Android من Google ، لديها إذن للاستماع إلى محادثات المستخدمين عبر التطبيق ، حتى عندما يكون الجهاز في وضع السكون ، وفقًا للخبراء الثلاثة وتحليل POLITICO المنفصل. يمكنه أيضًا تتبع مواقع الأشخاص عبر تقنيات GPS و Wi-Fi المدمجة في الهاتف الذكي ، وفقًا لاثنين من المحللين.
قالت مروة فتافطة ، قائدة الحقوق الرقمية لمنطقة الشرق الأوسط وشمال إفريقيا لـ Access Now ، وهي منظمة غير ربحية ، إن التطبيق ليس أقل من “أداة مراقبة يمكن أن تستخدمها السلطات المصرية كسلاح لتتبع النشطاء والمندوبين الحكوميين وأي شخص يحضر COP27”. منظمة الحقوق الرقمية.
قال أحد الخبراء الأمنيين بعد مراجعته ، والذي تحدث بشرط عدم الكشف عن هويته لحماية الزملاء الذين يحضرون COP: “التطبيق سلاح إلكتروني“.
“تم إجراء تقييم للأمن السيبراني. وقال وائل أبو المجد ، الممثل الخاص لمصر لدى رئيس COP27 ، للصحفيين يوم الخميس ، في إشارة إلى التهديد الأمني للتطبيق.
وقالت جوجل إنها راجعت التطبيق ولم تجد أي انتهاكات لسياساتها.
تأتي المخاطر الأمنية المحتملة مع نزول الآلاف من المسؤولين البارزين إلى شرم الشيخ ، المنتجع المصري ، حيث تنتشر في جميع أنحاء المدينة ما يسمى برموز QR ، أو أكواد شبه شريطية توجه الأشخاص إلى تنزيل تطبيق الهاتف الذكي. .
يشمل المشاركون في COP27 قادة عالميين مثل الرئيس الفرنسي إيمانويل ماكرون ورئيس الوزراء البريطاني ريشي سوناك ووزير الخارجية الأمريكي أنتوني بلينكين ، على الرغم من أنه من غير المرجح أن يقوم هؤلاء السياسيون البارزون بتنزيل تطبيق حكومي آخر.
قال الخبراء الذين تحدثوا إلى POLITICO أن الكثير من البيانات والوصول التي يحصل عليها تطبيق COP27 هي قياسية إلى حد ما. ولكن وفقًا لثلاثة من هؤلاء المتخصصين ، فإن الجمع بين سجل الحكومة المصرية في مجال حقوق الإنسان وأنواع الأشخاص الذين سينزلون التطبيق يمثل مصدر قلق.
وصول غريب وواسع
قال ثلاثة من الباحثين إن التطبيق يشكل مخاطر مراقبة لمن ينزلونه بسبب أذوناته الواسعة لمراجعة أجهزة الأشخاص ، على الرغم من أن مدى الخطر لا يزال غير واضح.
راجع إلياس كويفولا ، الباحث في WithSecure ، وهي شركة للأمن السيبراني ، تطبيق Android لـ POLITICO وقال إنه لم يجد أي دليل على قراءة رسائل البريد الإلكتروني للأشخاص. وأضاف أن العديد من الأذونات الممنوحة لتطبيق مؤتمر تغير المناخ لها أيضًا أغراض حميدة مثل إبقاء الأشخاص على اطلاع بأحدث معلومات السفر حول القمة.
لكن كويفولا قال إن الأذونات الأخرى الممنوحة للتطبيق بدت “غريبة” ويمكن استخدامها لتتبع تحركات الأشخاص واتصالاتهم. وقال إنه حتى الآن ليس لديه دليل على حدوث مثل هذا النشاط.
لم يتفق جميع الخبراء على المخاطر.
قال بول شانك ، مهندس الاستخبارات الأمنية في شركة الأمن السيبراني Lookout ، إنه لم يعثر على أي دليل على أن التطبيق يمكنه الوصول إلى رسائل البريد الإلكتروني ، واصفًا فكرة أنه يشكل خطرًا على المراقبة بأنها “غريبة”. كان واثقًا من أن التطبيق لم يتم إنشاؤه كبرنامج تجسس نموذجي ، حيث قام بصب الماء البارد على الادعاءات بأن التطبيق يعمل كجهاز استماع. قال Shunk إنه لا يمكنه تسجيل الصوت إذا كان يعمل في الخلفية ، مما يجعله “غير مناسب تمامًا تقريبًا للتجسس على المستخدمين”.
قال شانك إن تطبيق COP27 يستخدم تتبع الموقع “على نطاق واسع” ، ولكن يبدو أنه لأغراض مشروعة مثل تخطيط الطريق للحاضرين في القمة. وأضاف أنه يفتقر إلى القدرة على الوصول إلى الموقع في الخلفية ، بناءً على أذونات Android ، وهو ما سيحتاجه التطبيق لتتبع الموقع المستمر.
تحدث محللا الأمن السيبراني الآخران اللذان قاما بمراجعة التطبيق بشرط عدم الكشف عن هويتهما لحماية عملهما الأمني المستمر وحماية الزملاء الذين يحضرون مؤتمر تغير المناخ.
قال أحد هؤلاء الخبراء: “اسمحوا لي أن أضعها على هذا النحو: لن أنزل هذا التطبيق على هاتفي”. حذر هذان الباحثان أيضًا من أنه بمجرد تنزيل التطبيق على الجهاز ، سيكون من الصعب ، إن لم يكن من المستحيل ، إزالة قدرته على الوصول إلى البيانات الحساسة للأشخاص – حتى بعد حذفه.
فحص POLITICO المخاطر الأمنية المحتملة للتطبيق من خلال أداتين مفتوحتين للأمن السيبراني ، وكلاهما أثار مخاوف بشأن قدرته على الاستماع إلى محادثات الأشخاص ، وتتبع مواقعهم ، وتغيير كيفية عمل التطبيق دون طلب الإذن.
وافقت كل من Google و Apple على ظهور التطبيق في متاجر التطبيقات المنفصلة الخاصة بهما. قام جميع المحللين بمراجعة إصدار Android فقط من التطبيق ، وليس التطبيق المنفصل الذي تم إنشاؤه لأجهزة Apple. رفضت Apple التعليق على التطبيق المنفصل الذي تم إنشاؤه لمتجر التطبيقات الخاص بها.
سجل تتبع ومراقبة
ومما يزيد مخاوف الجماعات الحقوقية سجل الحكومة المصرية في مراقبة شعبها. في أعقاب ما يسمى بالربيع العربي ، قامت القاهرة بقمع المعارضين واستخدمت قواعد الطوارئ المحلية لتتبع نشاط مواطنيها عبر الإنترنت وخارجها ، وفقًا لتقرير صادر عن منظمة الخصوصية الدولية ، وهي منظمة غير ربحية.
كجزء من إشعار الخصوصية لتطبيق الهاتف الذكي ، تقول الحكومة المصرية إن لها الحق في استخدام المعلومات المقدمة من قبل أولئك الذين قاموا بتنزيل التطبيق ، بما في ذلك مواقع GPS والوصول إلى الكاميرا والصور وتفاصيل Wi-Fi.
وجاء في بيان الخصوصية: “يحتفظ تطبيقنا بالحق في الوصول إلى حسابات العملاء لأغراض فنية وإدارية ولأسباب أمنية”.
ومع ذلك ، اكتشفت المراجعة الفنية ، التي أجراها كل من POLITICO والخبراء الخارجيين لتطبيق COP27 للهواتف الذكية ، المزيد من الأذونات التي منحها الناس ، عن غير قصد ، للحكومة المصرية والتي لم يتم الإعلان عنها من خلال بياناتها العامة.
وشمل ذلك التطبيق الذي له الحق في تتبع ما فعله الحاضرون على التطبيقات الأخرى على هواتفهم ؛ توصيل الهواتف الذكية للمستخدمين عبر البلوتوث بأجهزة أخرى بطرق قد تؤدي إلى تفريغ البيانات على الأجهزة المملوكة للحكومة ؛ وربط هواتف الأفراد بشبكات Wi-Fi بشكل مستقل ، أو إجراء مكالمات نيابة عنهم دون علمهم.
وقالت فتافطة ، الناشطة في مجال الحقوق الرقمية: “لا يمكن أن يُعهد إلى الحكومة المصرية بإدارة البيانات الشخصية للأشخاص نظرًا لسجلها السيئ في مجال حقوق الإنسان وتجاهلها الصارخ للخصوصية”.
ماهر حمصي