RaazNet

رازنتبتا

دانشنامه
در این صفحه

تهدیدات پیشرفته موبایل و اقدامات مقابله‌ای

یک راهنمای جامع برای دفاع در برابر تهدیدات پیشرفته موبایل در ایران، شامل جاسوس‌افزارهای دولتی (پگاسوس)، دکل‌های جعلی (IMSI Catchers)، استخراج اطلاعات توسط ابزارهای جرم‌شناسی (Forensics) و غیرفعال‌سازی هدفمند سیم‌کارت.

Time15 minutes

تهدیدات پیشرفته موبایل و اقدامات متقابل

دستگاه‌های موبایل اهداف اصلی نظارت دولتی هستند. برخلاف مجرمان سایبری معمولی، بازیگران دولتی (مانند جمهوری اسلامی) دسترسی مستقیم به زیرساخت‌های مخابراتی (همراه اول، ایرانسل، رایتل) دارند و به تسلیحات نظارتی پیشرفته (مانند پگاسوس ساخت NSO Group یا ابزارهای استخراج داده Cellebrite) مجهز هستند.

این راهنما به بررسی تهدیدات سطح بالا، فراتر از بدافزارهای معمولی می‌پردازد و بر جاسوسی هدفمند، شنود شبکه و نفوذ فیزیکی به دستگاه تمرکز دارد.

۱. جاسوس‌افزارهای پیشرفته (پگاسوس، پردیتور و موارد مشابه)

"جاسوس‌افزارهای مزدور" دولتی به مهاجمان اجازه می‌دهند کنترل کامل دستگاه را به دست بگیرند—دسترسی به میکروفون‌ها، دوربین‌ها، پیام‌ها (حتی در سیگنال و واتس‌اپ) و موقعیت مکانی—که اغلب بدون هیچ‌گونه تعاملی از سوی کاربر (اکسپلویت‌های "بدون کلیک" یا Zero-Click) انجام می‌شود.

نحوه عملکرد

  • اکسپلویت‌های زیرو-کلیک (Zero-Click): کد مخرب از طریق iMessage، واتس‌اپ یا سایر پردازش‌های سیستمی ارسال می‌شود. کاربر نیازی به کلیک روی لینک ندارد؛ صرفِ دریافت بسته داده برای آلوده شدن دستگاه کافی است.
  • عملکرد بی‌صدا: این ابزارها در پس‌زمینه اجرا می‌شوند و مصرف باتری و اینترنت خود را پنهان می‌کنند.
  • قابلیت‌ها: استخراج کامل فایل‌ها، ضبط صدا و تصویر بلادرنگ و ثبت کلیدهای فشرده شده (Keylogging).

اقدامات متقابل و ایمن‌سازی

الف. راه‌اندازی مجدد روزانه (عدم ماندگاری)

بسیاری از پیلودهای (Payloads) جاسوس‌افزارهای مدرن برای جلوگیری از شناسایی در تحلیل‌های جرم‌شناسی، "غیر ماندگار" (Non-persistent) هستند. آن‌ها در حافظه موقت (RAM) قرار می‌گیرند.

  • اقدام: گوشی خود را حداقل یک بار در روز ری‌استارت (Reboot) کنید. این کار مهاجم را مجبور به آلوده‌سازی مجدد دستگاه می‌کند که هزینه و ریسک لو رفتن عملیات را برای آن‌ها افزایش می‌دهد.

ب. فعال‌سازی حالت لاک‌داون (iOS)

برای کاربران آیفون، Lockdown Mode موثرترین دفاع در برابر اکسپلویت‌های زیرو-کلیک است. این قابلیت با مسدود کردن فناوری‌های پیچیده وب، پیوست‌های پیام و درخواست‌های ارتباطی ناشناس، سطح حمله را کاهش می‌دهد.

  • فعال‌سازی: SettingsPrivacy & SecurityLockdown Mode.

ج. محافظت‌های پیشرفته اندروید

  • GrapheneOS: در صورت امکان، از گوشی گوگل پیکسل با سیستم عامل GrapheneOS استفاده کنید. مدیریت حافظه سخت‌گیرانه و سندباکس (Sandbox) قوی آن، نفوذ را بسیار دشوار می‌کند.
  • راه‌اندازی مجدد خودکار (Auto-Reboot): دستگاه خود را تنظیم کنید تا در صورت باز نشدن قفل برای مدتی مشخص (مثلاً ۱۸ ساعت)، به طور خودکار ری‌استارت شود.

د. تشخیص آلودگی (MVT)

ابزار Mobile Verification Toolkit (MVT) که توسط سازمان عفو بین‌الملل توسعه یافته، می‌تواند فایل‌های پشتیبان (Backup) را برای یافتن "نشانه‌های نفوذ" (IOCs) اسکن کند.

  • نکته: این یک فرآیند فنی است. اگر به آلودگی دستگاه مشکوک هستید، فوراً اینترنت دستگاه را قطع کرده و از یک متخصص امنیت دیجیتال کمک بگیرید (مانند Access Now یا Amnesty Tech).

۲. نظارت شبکه: گیرنده‌های IMSI و استینگ‌ری (Stingrays)

گیرنده‌های IMSI (یا استینگ‌ری‌ها) دکل‌های مخابراتی جعلی هستند که توسط نیروهای امنیتی در جریان اعتراضات یا عملیات‌های هدفمند برای شنود ترافیک و ردیابی موقعیت مکانی استفاده می‌شوند.

نحوه عملکرد

  • حمله مرد میانی (MitM): دستگاه خود را به عنوان یک دکل مخابراتی معتبر (مثلاً همراه اول) جا می‌زند اما سیگنال قوی‌تری ارسال می‌کند و گوشی‌های اطراف را مجبور به اتصال به خود می‌کند.
  • حملات تقلیل نسخه (Downgrade Attacks): دستگاه، گوشی شما را مجبور می‌کند از شبکه امن 4G/5G قطع شده و به شبکه ناامن 2G (GSM) متصل شود، جایی که رمزنگاری ضعیف است یا وجود ندارد.
  • قابلیت‌ها: شنود پیامک‌ها/تماس‌ها، به دست آوردن IMSI (شماسه یکتای سیم‌کارت) برای شناسایی هویت، و موقعیت‌یابی دقیق.

اقدامات متقابل

الف. غیرفعال‌سازی 2G (حیاتی)

از اتصال گوشی خود به شبکه‌های ناامن 2G جلوگیری کنید.

  • اندروید (نسخه ۱۲ به بالا): SettingsNetwork & InternetSIMs → گزینه "Allow 2G" را خاموش کنید.
  • iOS: زمانی که Lockdown Mode فعال باشد، این ویژگی به صورت خودکار اعمال می‌شود.

ب. ویژگی‌های امنیتی اندروید ۱۵ به بالا

از دستگاه‌های دارای اندروید ۱۵ یا بالاتر استفاده کنید که هشدارهای ضد-نظارتی خاصی را ارائه می‌دهند:

  • شفافیت رمزنگاری سلولی: اگر اتصال شبکه رمزنگاری نشده باشد، هشدار می‌دهد.
  • شفافیت افشای شناسه: اگر شبکه بدون دلیل موجه درخواست شناسه یکتای دستگاه (IMSI/IMEI) را بکند، هشدار می‌دهد.

ج. فقط استفاده از دیتای رمزنگاری شده

  • اجتناب از تماس/پیامک سنتی: تماس‌ها و پیامک‌های معمولی به راحتی توسط دکل‌های جعلی شنود می‌شوند.
  • استفاده از سیگنال/Orbot: تمام ارتباطات را از طریق کانال‌های دیتای رمزنگاری شده سرتاسری (E2EE) مانند سیگنال یا واتس‌اپ و از طریق VPN انجام دهید. حتی اگر "لوله ارتباطی" شنود شود، محتوا رمزنگاری شده باقی می‌ماند.

د. کیف‌های فارادی (Faraday Bags)

در هنگام جابجایی‌های پرخطر یا اعتراضات، دستگاه را در یک کیف فارادی (کیسه عایق امواج) قرار دهید تا تمام سیگنال‌ها به صورت فیزیکی مسدود شوند. این کار از ردیابی یا فعال‌سازی از راه دور جلوگیری می‌کند.

۳. تهدیدات اپراتورها: غیرفعال‌سازی سیم‌کارت و شنود

در ایران، اپراتورهای موبایل تحت کنترل دولت هستند. تهدید تنها "هکرها" نیستند که سیم‌کارت شما را تعویض کنند (Sim Swap)، بلکه خود دولت است که زیرساخت را دستکاری می‌کند.

چشم‌انداز تهدید

  • غیرفعال‌سازی با دستور دولتی: نهادهای امنیتی (سازمان تنظیم مقررات/سپاه) می‌توانند دستور غیرفعال‌سازی سیم‌کارت‌های فعالان را صادر کنند تا دسترسی آن‌ها به خدمات بانکی، شبکه‌های اجتماعی و سایر سرویس‌ها قطع شود.
  • شنود پیامک: دولت دسترسی مستقیم API به درگاه‌های پیامکی دارد که به آن‌ها اجازه می‌دهد کدهای تایید دو مرحله‌ای (2FA) را بخوانند یا لینک‌های مخرب تزریق کنند.

اقدامات متقابل

الف. جدا کردن حساب‌ها از شماره تلفن

برای احراز هویت‌های حیاتی، به شماره تلفن ایران خود متکی نباشید.

  • سیگنال: یک نام کاربری (Username) تنظیم کنید و شماره تلفن خود را از دید همه مخفی کنید (SettingsPrivacyPhone NumberWho can see my number: Nobody).
  • تلگرام: در صورت امکان از شماره غیر ایرانی استفاده کنید (مثلاً شماره مجازی معتبر)، اما آگاه باشید که تلگرام به اندازه سیگنال در مخفی کردن شماره موثر نیست.

ب. ترک احراز هویت پیامکی (SMS 2FA)

اگر روش جایگزینی وجود دارد، هرگز از پیامک برای احراز هویت دو‌مرحله‌ای استفاده نکنید.

  • استفاده از TOTP: از اپلیکیشن‌های احراز هویت مثل Aegis (برای اندروید) یا Raivo (برای iOS) استفاده کنید.
  • استفاده از کلید امنیتی/Passkeys: کلیدهای سخت‌افزاری (YubiKey) یا Passkeyهای روی دستگاه در برابر شنود سیم‌کارت مصون هستند.

ج. پین سیم‌کارت (کارایی محدود)

تنظیم PIN روی سیم‌کارت مانع از استفاده دزد از سیم‌کارت شما روی گوشی دیگر می‌شود، اما نمی‌تواند جلوی اپراتور یا دولت را برای کلون کردن سیم‌کارت یا شنود ترافیک در سطح شبکه بگیرد.

۴. استخراج جرم‌شناسی (توقیف فیزیکی)

اگر دستگیر شوید، نیروهای امنیتی تلاش خواهند کرد با استفاده از ابزارهایی مانند Cellebrite یا GrayKey داده‌های شما را استخراج کنند.

درک تفاوت BFU و AFU

  • حالت BFU (قبل از اولین بازگشایی): وضعیت گوشی بعد از ری‌استارت اما قبل از اینکه رمز عبور خود را وارد کنید. در این حالت داده‌ها کاملاً رمزنگاری شده‌اند و استخراج آن‌ها بسیار دشوار است.
  • حالت AFU (بعد از اولین بازگشایی): گوشی حداقل یک بار پس از روشن شدن باز شده است. کلیدهای رمزنگاری در حافظه رم موجود هستند و استخراج اطلاعات برای ابزارهای جرم‌شناسی آسان‌تر است.

اقدامات متقابل

الف. "ری‌استارت" اضطراری (Panic Reboot)

اگر احتمال دستگیری یا توقیف گوشی را می‌دهید:

  • گوشی را فوراً خاموش کنید. این کار دستگاه را به حالت BFU می‌برد.
  • فعال‌سازی لاک‌داون (iOS): دکمه پاور + دکمه صدا را ۳ ثانیه نگه دارید. این کار بیومتریک را غیرفعال کرده و رمز عبور را اجباری می‌کند.
  • فعال‌سازی لاک‌داون (اندروید): گزینه "Show Lockdown Option" را در تنظیمات فعال کنید. دکمه پاور را نگه دارید و "Lockdown" را بزنید تا حسگر اثر انگشت/چهره غیرفعال شود.

ب. رمزهای عبور الفبایی-عددی قوی

ابزارهای جرم‌شناسی بر پایه حدس زدن (Brute-force) کدها کار می‌کنند.

  • پرهیز کنید: از پین‌های ۴ یا ۶ رقمی.
  • استفاده کنید: از یک رمز عبور الفبایی-عددی قوی (مثلاً Tr@ctor!Red77). شکستن یک پین ۶ رقمی ممکن است چند دقیقه طول بکشد؛ یک پسورد پیچیده می‌تواند دهه‌ها زمان ببرد.

ج. بیومتریک یک نقطه ضعف است

  • اثر انگشت/تشخیص چهره را غیرفعال کنید: در ایران، بازجویان می‌توانند با زور فیزیکی انگشت شما را روی سنسور قرار دهند یا گوشی را جلوی صورتتان بگیرند. اما نمی‌توانند به سادگی و بدون شکنجه شما را مجبور به لو دادن رمز عبور پیچیده‌ای کنند که در ذهن دارید.
  • نکته حقوقی: اگرچه قوانین ایران حمایت موثری در برابر "خود-مجرم‌انگاری" ندارند، اما یک رمز عبور قوی زمان می‌خرد و یک مانع فنی ایجاد می‌کند که بیومتریک فاقد آن است.

۵. ردیابی موقعیت مکانی

موقعیت مکانی شما از سه طریق ردیابی می‌شود: GPS (ماهواره)، مثلث‌بندی سلولی (دکل‌های موبایل) و شناسه‌های تبلیغاتی (دلالان داده).

اقدامات متقابل

  • حالت پرواز کافی نیست: حالت پرواز "نرم‌افزاری" ممکن است همچنان اجازه فعالیت GPS یا بلوتوث در پس‌زمینه را بدهد.
  • جا گذاشتن دستگاه: تنها راه برای ۱۰۰٪ غیرقابل ردیابی بودن، همراه نداشتن دستگاه است.
  • گوشی‌های یک‌بار مصرف (Burner): برای کارهای حساس از دستگاه ثانویه استفاده کنید. آن را با پول نقد بخرید، هرگز در آدرس منزل روشن نکنید و زمانی که استفاده نمی‌کنید خاموش و در کیف فارادی نگه دارید.
  • غیرفعال‌سازی شناسه تبلیغاتی (Advertising ID):
    • اندروید: SettingsPrivacyAdsDelete advertising ID.
    • iOS: مسیر SettingsPrivacy & SecurityTracking → گزینه "Allow Apps to Request to Track" را خاموش کنید.

چک‌لیست خلاصه برای شرایط پرخطر

۱. حمل و نقل/اعتراضات: گوشی خاموش (حالت BFU) یا درون کیف فارادی. ۲. استفاده روزمره: راه‌اندازی مجدد (ری‌استارت) هر روز صبح. ۳. شبکه: غیرفعال‌سازی 2G. استفاده از VPN (مانند Orbot/Mullvad/Proton) در ۱۰۰٪ مواقع. ۴. احراز هویت: حذف SMS 2FA. استفاده از اپلیکیشن‌های TOTP. ۵. بیومتریک: غیرفعال. استفاده از رمز عبور الفبایی-عددی قوی.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.