كلوب هاوس(1) .. إشكاليات الأمن والخصوصية

سبتمبر 25, 2021|

تقرؤون..

 

في آذار/مارس 2020، أُطلق تطبيق (Clubhouse) كأحد تطبيقات التواصل الاجتماعي الناشئة، التي تعتمد على التواصل الصوتي المباشر فقط. لاقى التطبيق اهتمام واسع في عدد من الدول والمجتمعات، خاصة بعد مشاركة إيلون ماسك في التطبيق في نهاية كانون الثاني/يناير من العام الجاري. الآن يُنشأ على التطبيق ما يقرُب من نصف مليون غرفة يوميًا.

كلوب هاوس يواجه -كغيره من وسائل التواصل الاجتماعي- إشكالية أساسية حول الأمان والخصوصية، وهي إشكالية ذات وجاهة في حالة كلوب هاوس لِما للتطبيق من أهمية لناحية الموضوعات التي يتم طرحها ونقاشها، والتي لا تخلو من الأحاديث السياسية والدينية والحقوقية والجنسانية والجنسية التي تُعتبر من الموضوعات المُحرّمة في عدد من الدول والمجتمعات.

قبل الحديث عن مشكلات الأمن والخصوصية في كلوب هاوس، مهم الإشارة إلى الخطوة الايجابية التي قام بها التطبيق في تموز/يوليو الفائت عند إلغائه نظام الدعوات (Invitations). أنهي كلوب هاوس المرحلة التجريبية (Beta)، والتي امتدت منذ انطلاقه في آذار/مارس 2020 حتى تموز/يوليو 2021، حيث كان الانضمام إلى التطبيق خلالها يقتصر على تلقي دعوة من أحد الحسابات داخل التطبيق؛ ما كان يتطلب مشاركة جميع جهات الاتصال  (Contacts) الموجودة في الهاتف  للتمكُّن  من إرسال الدعوة – حيث أن جهات الاتصال التي يتم مشاركتها مع التطبيق قد تحتوي الاسم ورقم الهاتف ومعلومات إضافية كالعمل وعنوان البريد الإلكتروني وحتى عنوان السكن. الآن، ومع فتح التطبيق وإلغاء نظام الدعوات أصبح من غير الضروري مشاركة جهات اتصال الهاتف مع التطبيق.

الدعوة للانضمام إلى التطبيق

قبل طرح النسخة النهائية للتطبيق التي تم فيها إزالة نظام الدعوات (Invitations)، حصل التطبيق على أكثر من 30 مليون مستخدمة ومستخدم، جميع هذه الحسابات تحتوي علانية على اسم الشخص/الحساب الذي وجّه دعوة الانضمام إلى التطبيق (Nominated by). الأمر الذي من شأنه أن يعرّض أحد الطرفين لمشكلات أمنية أو اجتماعية أو ثقافية نتيجة لمواقف أو تصريحات الطرف الآخر داخل التطبيق، الذي من الممكن أن يكون في ظروف مكانية تسمح له بحرية أكبر للتعبير عن رأيه، خاصة مع العقلية الأمنية والاجتماعية السائدة في عدد من الدول والمجتمعات، وهو ما دفع العديد من الأشخاص إلى التواصل مع الشركة وطلب إزالة الربط بمن دعوهم إلى التطبيق؛ بعد تعرُّض  البعض إلى مضايقات بسبب آراء من قاموا بدعوتهم إلى التطبيق، وقد تجاوبت الشركة مع عدد من الطلبات، بينما لم تتجاوب مع البعض الأخر من الطلبات.

من نتابع ومن يتابعنا

يحتاج التطبيق إلى عدد من المعطيات التي تُحدد الغرف التي تظهر للمستخدمات والمستخدمين عند الاشتراك، من أهم هذه المعطيات؛ الشخصيات أو الحسابات أو النوادي (Clubs) التي نقوم بمتابعتها (Following)، هذا الإجراء يُشبه ما يقوم به تويتر.

قائمة الحسابات والنوادي التي يتابعها المستخدمات والمستخدمون في كلوب هاوس هي قائمة علانية، يمكن ﻷي شخص مشاهدتها دون أن يتيح التطبيق خيار إخفاء القائمة أو التحكم بمن يُمكنهم الوصول لها، ما قد يعرّض صاحبة أو صاحب الحساب لمضايقات اجتماعية أو أمنية، كما حصل في سياق مشابه مع الناشطة سها (اسم مستعار)، حيث تعرضت للمسائلة من أحد الأفرع الأمنية في سوريا  بسبب متابعتها حسابات وصفحات فيسبوك لديها خطاب منتقد للنظام.

من يستمع إلى ماذا

من ضمن الطرق التي يعتمدها كلوب هاوس للترويج للغرف المتاحة أو النشطة، هي إرسال إشعارات إلى الحسابات التي تتابع المستخدمين والمستخدمات عند انضمامهم  إلى أحد الغرف. إضافة إلى ذلك، يحتوي التطبيق على صفحة يظهر فيها الحسابات النشطة وعناوين الغرف التي يتواجد بها كل حساب ممن يتابعون بعضهم البعض.

يختلف ذلك كثيرًا عن تصفح فيسبوك، على سبيل المثال، حيث يمكن الدخول إلى أي صفحة أو مجموعة عامة وقراءة المواضيع والنقاشات دون معرفة أحد الأصدقاء بهذا النشاط، وكذلك الوضع في تويتر وانستاجرام.

هذا الأمر يحول دون مشاركة الكثيرين في الغرف التي تحتوي عناوين إشكالية سياسية أو دينية أو جنسية، ﻷن الفكرة العامة لدى البعض تقول أن الدخول إلى غرفة يعني الموافقة على عنوانها ومضمون ما يقال فيها، أو  في الأقل تعني الاهتمام بالموضوع أو العنوان، بينما الواقع لا يشير إلى ذلك بالضرورة؛ هذا ما دفع العديد من الأشخاص إلى إنشاء حسابات بأسماء وهمية للتمكن من دخول أي غرفة دون أن يتسبب لهم الأمر في إحراج أو وصم أو مسائلة.

حماية ضعيفة للحساب

يعتمد إنشاء حساب كلوب هاوس على رقم الهاتف، حيث يتم تفعيل الحساب والتأكد من ملكية الرقم من خلال ارسال رمز (Code) في رسالة نصية (SMS) إلى رقم الهاتف. كذلك هو الأمر عند محاولة تسجيل الدخول إلى الحساب من جهاز جديد. اكتفاء التطبيق بالرمز المُرسَّل عبر الرسائل النصية لتسجيل الدخول إلى الحساب يُعدّ طريقة غير جيدة على الإطلاق، فقد يتسبب في قرصنة الحسابات بسهولة، بسبب وجود العديد من الطرق التي يمكن بواسطتها الوصول إلى رمز التحقق المُرسَّل إلى رقم الهاتف من قِبل مخترقين ومتصيدين. كذلك من الممكن الحصول على شريحة هاتف تحمل نفس الرقم (SIM swapping) اعتمادًا على الهندسة الاجتماعية وغيرها من الطرق مثل التواطؤ من أحد موظفات أو موظفي شركة الاتصالات. أمر شبيه لما حصل مع جاك دورسي Jack Dorsey المدير التنفيذي لشركة تويتر حين تم اختراق حسابه على تويتر عام 2019.

التراسل داخل التطبيق

في منتصف تموز-يوليو 2021، أضاف كلوب هاوس ميزة التراسل الكتابي داخل التطبيق، وهي ميزة لاقت انتشارًا واسعًا، حيث أشارت الشركة أنه تم إرسال 90 مليون رسالة في اﻷسبوع الأول لطرح ميزة التراسل الكتابي.

هذه الميزة، وبالرغم من أهميتها، إلا إنها تعد وسيلة تواصل غير آمنة، وذلك لعدة عوامل أهمها:

  • تُخزّن جميع المراسلات داخل خوادم (Servers) الشركة.
  • لا يستخدم نظام المراسلة في التطبيق التشفير من طرف إلى طرف (End-to-end encryption)، ما يعني قدرة الشركة على الوصول إلى وقراءة محتوى المراسلات.
  • حتى الآن لا يتيح التطبيق إمكانية حذف أي من الرسائل الصادرة أو الواردة.
  • يكتفي التطبيق بالرسائل النصية (SMS) لتأكيد هوية الحساب عند تسجيل الدخول، وكما أشرنا سابقًا أن ذلك يؤدي إلى مخاطر تتعلق بتأمين الحسابات سواء في حالة الاختراق أو النجاح بتفعيل رقم الهاتف على جهاز آخر.

تسجيل محتوى الجلسات

هناك نوعان من تسجيل (Record) الجلسات في كلوب هاوس:

1- التسجيل من قِبل الحضور: يشترط التطبيق موافقة جميع المتحدثات والمتحدثين في الغرفة قبل تسجيل محتوى أو جزء من محتوى الجلسة. مع هذا، يوجد الآن مئات وربما آلاف التسجيلات المنتشرة على وسائل التواصل الاجتماعي لجلسات كلوب هاوس تم تسجيلها ونشرها دون موافقة المتحدثات والمتحدثين. لكن، في الحقيقة -تقنيًا- لا يمكن لكلوب هاوس منع تسجيل محتوى الغرف أو الجلسات.

2- التسجيل من قِبل الشركة: تقوم الشركة بتسجيل جميع الجلسات، بما في ذلك الجلسات الخاصة (Private rooms) والاحتفاظ بها لحين انتهاء الجلسة. بحسب الشركة فإنها تقوم بذلك بهدف التحقق من المحتوى في حال تقدم أي من الحضور بشكوى حول انتهاك حدث داخل أحد الغرف، وإن لم يتم التقدم بأي شكوى أو تبليغ يتم حذف التسجيل.

لكن الشركة لم توضح إن كانت ستستخدم التسجيلات في أي مجال، مثل استخدامها في تقنيات التعرف على الأصوات أو إن كانت ستشارك التسجيلات مع طرف ثالث، كذلك لا تشير سياسة الشركة إلى مدة الاحتفاظ بالتسجبل إن حدث تبليغ.

النسخ المزيفة

منذ انطلاق كلوب هاوس في آذار/مارس 2020 حتى  أيار/مايو 2021 كان التطبيق متوفر فقط للأجهزة العاملة بنظام تشغيل آي أو إس (iOS)، ولم يكن متوفر للأجهزة العاملة بنظام أندرويد.

تسبب عدم توفُّر اصدار للأجهزة العاملة بنظام أندرويد، واتاحة كلوب هاوس الـ API الخاص بالتطبيق في إمكانية تطوير نسخ غير رسمية من التطبيق ﻷنظمة أندرويد وأيضًا لأنظمة تشغيل الحواسيب، ما دفع الكثير ممن لا يملكون هواتف آيفون إلى استخدام النسخ غير الرسمية من التطبيق وتعريض أجهزتهم وبياناتهم ومحادثاتهم لخطر الاختراق.

ما هي الخطوات التي يجب على كلوب هاوس عملها لتحسين الأمان والخصوصية في التطبيق؟

على الرغم من أن كلوب هاوس تطبيق ناشئ وأن الشركة المسؤولة عن التطبيق صغيرة جدًا من ناحية الموارد البشرية، حيث أن عدد الموظفات والموظفين لا يتجاوز 58 شخص، لكن ومع ازدياد انتشار التطبيق وازدياد شعبيته التي لا يمكن فصلها عن طبيعة المواضيع والنقاشات التي تتم بواسطته؛ فإن على الشركة التركيز أكثر على الجوانب الأمنية والخصوصية في التطبيق والتي يجب أن تتضمن:

-إيقاف تفعيل الحسابات بواسطة رقم الهاتف

مع انتهاء النسخة التجريبية وجعل التطبيق عام عبر إلغاء نظام الدعوات، يجب على التطبيق فك ارتباط الحسابات برقم الهاتف وجعل التسجيل يكون عبر البريد الإلكتروني مع بقاء التسجيل عبر رقم الهاتف اختياريًا -كما هو الحال مع تطبيق التراسل Wire على سبيل المثال- ما يساعد في عدم كشف هوية الحسابات خاصة في حال حصول تسريب لبيانات الشركة.

زيادة الخصوصية في التطبيق

ذلك بواسطة اضافة اعدادات داخل الحساب تتيح للمستخدمات والمستخدمين القدرة على التحكم في:

  • إظهار/إخفاء من قام بدعوتهم إلى التطبيق.
  • إظهار/إخفاء الحسابات التي يتابعونها والحسابات التي تتابعهم.
  • التحكم في إرسال/عدم إرسال إشعارات عن الغرف التي يتواجدون فيها.
  • التحكم في إظهار/عدم إظهار الغرف التي يتواجدون فيها.

حماية الحسابات من الاختراق

يجب على كلوب هاوس زيادة أمان عملية تسجيل الدخول إلى الحساب، بواسطة  إضافة أو إتاحة ميزة “المصادقة متعددة العوامل – Multi Factor Authentication” حيث يمكن لصاحبة أو صاحب الحساب إضافة كلمة سر أو رمز سري أو وسيلة تحقق إضافية غير الرمز المرسل لرقم الهاتف عبر الرسائل النصية – ذات الأمر المتوفر في تطبيقات التراسل مثل Signal وواتسآب.

جعل المراسلة داخل التطبيق أكثر أمانًا

لا شك أن إضافة ميزة المراسلة النصية داخل التطبيق هو أمر مهم  وضروري، لكن يجب على كلوب هاوس اعتماد نظام مراسلة أكثر أمانًا من خلال استخدام بروتوكول تشفير مفتوح المصدر (Open Source) يُشفّر الرسائل الطرف للطرف، مع إتاحة إمكانية حذف الرسائل.

معالجة المشاكل التقنية في التطبيق

يجب على الشركة العمل على إيقاف النسخ غير الرسمية للتطبيق، سواء كانت على أجهزة الهواتف أو الحواسيب، إضافة إلى تطبيقات ومنصات الطرف الثالث (3rd party) والتي تمكّن من الوصول إلى بيانات الغرف والحسابات من خارج التطبيق، وهو ما حصل في نيسان/أبريل الماضي عندما تم جمع ونشر بيانات 1.3 مليون حساب.

في النهاية، يجب التأكيد على أن كلوب هاوس هو أحد منصات التواصل الاجتماعي (Social media) وليس أداة أو تطبيق تواصل آمن. ذلك أنه ليس مصمم لهذا الغرض بالدرجة الأولى، كذلك لا يفي بأبسط معايير الأمان والخصوصية التي  تتمثل بقدرة الشركة على الوصول إلى محتوى المحادثات الصوتية العامة والخاصة والوصول إلى المراسلات الكتابية كذلك قيام الشركة بتسجيل المحادثات. إضافة إلى إمكانية قيام أي شخص من الحضور بتسجيل ونشر الجلسة دون علم أو موافقة المتحدثات والمتحدثين.

من ناحية أخرى ليس لها علاقة بالشركة، فإن طبيعة عمل كلوب هاوس، والمعتمدة على إنشاء الغرف و المحادثات الصوتية، تعتبر مصدر هام جدًا للشركات وكذلك الأفراد في جمع كمية كبيرة من الأصوات لاستخدامها  في التعلم الآلي (Machine learning) للتعرف على الأصوات، والتي تمكّن وبسهولة من استخدامها في عمليات التزييف العميق (Deep fake) حيث يمكن باستخدام البصمة الصوتية ﻷحد الأشخاص إنشاء مقاطع صوتية للشخص والتي من الممكن أن يكون محتواها يسيء أو يتسبب في مشكلات  أمنية واجتماعية، خاصة أنه مع التطور التقني السريع سيكون هناك صعوبة في كشف تزييف هذه المقاطع.

المزيد من منشورات مسار..

كيف يمكن التغلب على تحيز الذكاء الاصطناعي… تقنيات وأدوات

دليل الخصوصية في برمجيات التراسل الفوري

مجموعة إن إس أو (NSO Group)