RaazNet

رازنتبتا

دانشنامه
در این صفحه

یکپارچگی دستگاه و دفاع در برابر جاسوس‌افزارهای پیشرفته

راهنمای جامع برای حفظ یکپارچگی دستگاه موبایل، تشخیص جاسوس‌افزارهای تجاری پیشرفته (مانند پگاسوس/پردیتور) و دفاع در برابر تاکتیک‌های استخراج فیزیکی و از راه دور که توسط نهادهای امنیتی ایران استفاده می‌شود.

Time15 minutes

یکپارچگی دستگاه و دفاع در برابر جاسوس‌افزارهای پیشرفته

منظور از «یکپارچگی دستگاه» (Device Integrity) اطمینان از این است که دستگاه موبایل شما چه از راه دور توسط جاسوس‌افزارهای تجاری (مانند پگاسوس) و چه به صورت فیزیکی در دوران بازداشت، توسط عوامل دولتی دستکاری نشده باشد.

جمهوری اسلامی از یک استراتژی نظارتی دو لایه استفاده می‌کند:

  1. نظارت توده‌ای (Mass Surveillance): استفاده از اپلیکیشن‌های داخلی (مانند روبیکا، ایتا، وی‌پی‌ان‌های آلوده) و بدافزارهای عمومی برای ردیابی عموم مردم.
  2. جاسوسی هدفمند (Targeted Espionage): استفاده از جاسوس‌افزارهای پیشرفته و "بدون نیاز به کلیک" (Zero-click) و ابزارهای استخراج فیزیکی (مانند Cellebrite/GrayKey) علیه اهداف با ارزش بالا نظیر روزنامه‌نگاران، فعالان و رهبران اعتراضات.

تمرکز این راهنما بر دفاع در برابر جاسوسی هدفمند است.

۱. شناخت چشم‌انداز تهدیدات

۱. جاسوس‌افزارهای مزدور (از راه دور)

ابزارهای جاسوسی پیشرفته مانند پگاسوس (ساخت NSO Group) و پردیتور (ساخت Intellexa) به مهاجمان اجازه می‌دهند بدون اینکه کاربر روی لینکی کلیک کند ("اکسپلویت‌های Zero-click")، کنترل کامل دستگاه را به دست بگیرند.

  • قابلیت‌ها: دسترسی به پیام‌های رمزگذاری شده (سیگنال/واتس‌اپ)، روشن کردن دوربین/میکروفون، ردیابی GPS و سرقت رمزهای عبور.
  • در بستر ایران: اگرچه سپاه پاسداران عمدتاً بر بدافزارهای داخلی تکیه دارد، شواهد نشان‌دهنده خرید تکنولوژی‌های نظارتی خارجی است. مخالفان سرشناس ایرانی به‌طور مرتب هدف این حملات قرار می‌گیرند.

۲. استخراج فیزیکی (جرم‌شناسی دیجیتال/فارنزیک)

هنگامی که دستگاهی در ایست بازرسی یا هنگام دستگیری توقیف می‌شود، نیروهای امنیتی ایران از دستگاه‌های جرم‌شناسی (که اغلب از بازارهای خاکستری تهیه شده‌اند) برای استخراج داده‌ها استفاده می‌کنند.

  • تهدید: حتی اگر دستگاه قفل باشد، این ابزارها می‌توانند با بهره‌گیری از آسیب‌پذیری‌های سیستم‌عامل‌های قدیمی، رمز عبور را دور زده یا داده‌ها را استخراج (Dump) کنند.
  • دفاع: تنها راه دفاع در برابر استخراج فیزیکی، داشتن یک رمز عبور (Passphrase) قوی و ترکیبی (حروف و اعداد) و استفاده از یک سیستم عامل (OS) مدرن و به‌روز با قابلیت «بوت امن» (Secure Boot) است.

۳. بدافزارهای داخلی (RAT)

رایج‌ترین روش نفوذ در ایران، مهندسی اجتماعی است. کاربران فریب داده می‌شوند تا اپلیکیشن‌های "ضد فیلتر"، نسخه‌های کلون شده تلگرام (مثل تلگرام طلایی) یا اپلیکیشن‌های خدمات دولتی را نصب کنند که یکپارچگی دستگاه را شکسته و دسترسی دائمی به وزارت اطلاعات می‌دهند.

۲. مقاوم‌سازی پیشگیرانه: «سپر»

پیشگیری به‌مراتب مؤثرتر از تشخیص است. زمانی که یک دستگاه توسط جاسوس‌افزارهای سطح کرنل (هسته) آلوده شود، نمی‌توان آن را "پاک‌سازی" کرد؛ بلکه باید نابود یا بازنشانی کارخانه (با رعایت شرایط خاص) شود.

۱. به‌روزرسانی سیستم‌عامل و پشتیبانی

  • قانون حیاتی: هرگز به‌روزرسانی‌ها را به تعویق نیندازید. جاسوس‌افزارهای دولتی بر آسیب‌پذیری‌های "n-day" تکیه دارند (باگ‌هایی که اصلاحیه آن‌ها منتشر شده اما کاربر هنوز نصب نکرده است).
  • پایان عمر دستگاه (End-of-Life): اگر گوشی شما دیگر به‌روزرسانی‌های امنیتی را از اپل یا گوگل دریافت نمی‌کند، برای فعالیت‌های اکتیویستی امن نیست.

۲. اپل iOS: حالت قرنطینه (Lockdown Mode)

برای کاربران آیفون در ایران، Lockdown Mode موثرترین دفاع موجود در برابر اکسپلویت‌های بدون کلیک (Zero-click) است.

  • نحوه عملکرد: با مسدود کردن تکنولوژی‌های پیچیده وب، پیوست‌های خاص پیام‌ها و دعوت‌نامه‌های ورودی از اپل آیدی‌های ناشناس، «سطح حمله» را به‌شدت کاهش می‌دهد.
  • فعال‌سازی: SettingsPrivacy & SecurityLockdown Mode.
  • مبادله: ممکن است برخی وب‌سایت‌ها کندتر بارگذاری شوند و پیش‌نمایش برخی تصاویر در iMessage نشان داده نشود. این هزینه‌ای ضروری برای امنیت است.

۳. اندروید: محافظت پیشرفته و GrapheneOS

  • اندروید استوک (پیش‌فرض): برنامه Google Advanced Protection Program را فعال کنید. این برنامه بررسی‌های سخت‌گیرانه‌ای روی نصب اپلیکیشن‌ها اعمال کرده و برای دسترسی به حساب کاربری نیاز به کلید امنیتی فیزیکی یا Passkey دارد.
  • GrapheneOS (دستگاه‌های پیکسل): برای بالاترین سطح امنیت، رازنت (Raaznet) توصیه می‌کند سیستم عامل اندروید پیش‌فرض را با GrapheneOS جایگزین کنید. قابلیت‌های آن شامل:
    • تخصیص حافظه سخت‌گیرانه (که اجرای اکسپلویت‌ها را دشوار می‌کند).
    • سندباکس کردن سرویس‌های گوگل پلی.
    • اپلیکیشن Auditor: با استفاده از تایید سخت‌افزاری، اطمینان حاصل می‌کند که سیستم عامل دستکاری نشده است.

۴. راه‌اندازی مجدد (Reboot) روزانه

بسیاری از گونه‌های مدرن جاسوس‌افزارها "غیرماندگار" (Non-persistent) هستند، به این معنی که برای جلوگیری از به جا گذاشتن ردپای فارنزیک روی هارد، فقط در حافظه موقت (RAM) دستگاه زندگی می‌کنند.

  • اقدام: گوشی خود را هر روز صبح ری‌استارت کنید. این کار بدافزارهای غیرماندگار را از حافظه پاک می‌کند و مهاجم را مجبور به آلوده‌سازی مجدد دستگاه می‌کند (که ریسک لو رفتن آن‌ها را افزایش می‌دهد).

۳. تایید یکپارچگی: «اسکن»

[!DANGER] هشدار در مورد آنتی‌ویروس‌ها اپلیکیشن‌های آنتی‌ویروس استاندارد (مثل Avast، AVG و غیره) نمی‌توانند جاسوس‌افزارهای نظامی مانند پگاسوس را شناسایی کنند. به آن‌ها تکیه نکنید. این برنامه‌ها اغلب خودشان داده‌های کاربر را جمع‌آوری می‌کنند.

۱. جعبه‌ابزار تایید موبایل (MVT)

ابزار MVT که توسط آزمایشگاه امنیت عفو بین‌الملل توسعه یافته، استاندارد طلایی برای تحلیل فارنزیک است. این ابزار فایل‌های بکاپ را برای یافتن «شاخص‌های آلودگی» (IOCs) اسکن می‌کند.

  • برای iOS: ابزار MVT بکاپ‌های iTunes را برای یافتن نام پردازش‌های مشکوک و سوابق تعاملات تحلیل می‌کند.
  • برای اندروید: MVT فایل‌های APK نصب شده و سوابق SMS را بررسی می‌کند، هرچند تشخیص در اندروید به دلیل محدودیت‌های سیستمی دشوارتر است.
  • نحوه استفاده: MVT یک ابزار خط فرمان (Command-line) است. اگر دانش فنی ندارید، از هلپ‌دسک‌های امنیت دیجیتال کمک بگیرید (بخش ۵ را ببینید).

۲. iMazing (تحلیل‌گر جاسوس‌افزار iOS)

نرم‌افزار iMazing پیاده‌سازی کاربرپسندی از MVT را ارائه می‌دهد.

  • عملکرد: آیفون شما را در برابر پایگاه داده‌ای از شاخص‌های مخرب شناخته شده (پگاسوس، پردیتور، KingsPawn) اسکن می‌کند.
  • محدودیت: یک اسکن "پاک" تضمین‌کننده امنیت نیست. تنها به این معنی است که شاخص‌های شناخته شده پیدا نشدند.

۳. اپلیکیشن "Auditor" اندروید

اپلیکیشن Auditor (موجود برای GrapheneOS و اندروید ۱۰ به بالا) از چیپ امنیتی سخت‌افزاری دستگاه برای تایید کلیدهای امضای سیستم عامل استفاده می‌کند.

  • چرا استفاده کنیم: تشخیص می‌دهد که آیا یک عامل مخرب به صورت فیزیکی گوشی شما را دستکاری کرده تا یک روت‌کیت (Rootkit) یا نسخه دستکاری شده‌ای از سیستم عامل را نصب کند یا خیر.
  • روش: نیاز به دو دستگاه دارد تا یکدیگر را جفت (Pair) و تایید کنند.

۴. دفاع در برابر توقیف فیزیکی

در ایران، ریسک دستگیری بیشتر از ریسک هک شدن از راه دور (Zero-click) است.

۱. دکمه وحشت / قفل اضطراری (Lockdown)

  • آیفون: دکمه پاور را ۵ بار سریع فشار دهید (یا دکمه پاور + افزایش صدا را نگه دارید). این کار FaceID/TouchID را غیرفعال کرده و ورود رمز عبور را اجباری می‌کند.
  • اندروید: گزینه "Lockdown" را در تنظیمات منوی پاور فعال کنید. این کار بیومتریک (اثر انگشت/چهره) را غیرفعال می‌کند.
  • چرا: بازجویان ایرانی می‌توانند انگشت شما را به زور روی سنسور بگذارند یا گوشی را جلوی صورتتان بگیرند، اما نمی‌توانند به راحتی یا به صورت قانونی شما را مجبور به افشای یک رمز عبور پیچیده در لحظات اولیه توقیف کنند.

۲. دستگاه‌های ثانویه "برنر" (Burner Devices)

برای اعتراضات یا جلسات پرخطر، دستگاه اصلی خود را همراه نبرید.

  • استراتژی: از یک گوشی ارزان و پاک که فقط اپلیکیشن‌های ضروری (مثل سیگنال) دارد استفاده کنید.
  • راه‌اندازی: از سیم‌کارت اعتباری که با پول نقد خریداری شده (در صورت امکان) یا eSIM فقط-دیتا استفاده کنید. به حساب اصلی گوگل/اپل آیدی خود وارد نشوید.
  • دفع: اگر تحت تعقیب قرار گرفتید یا در گوشه‌ای گیر افتادید، این دستگاه می‌تواند دور انداخته شود یا بدون از دست رفتن زندگی دیجیتال شما، پاک شود.

۳. آمادگی برای پاک‌سازی از راه دور (Remote Wipe)

  • اطمینان حاصل کنید که Find My (iOS) یا Find My Device (Android) فعال است.
  • اگر دستگاه شما مصادره شد، بلافاصله تلاش کنید فرمان "Remote Erase" (پاک‌سازی از راه دور) را از یک کامپیوتر امن صادر کنید.
  • نکته: اگر مقامات دستگاه را در یک کیف فارادی (مسدودکننده سیگنال) قرار دهند، فرمان پاک‌سازی به محض اتصال مجدد دستگاه به شبکه اجرا خواهد شد.

۵. اقدامات در صورت آلودگی

اگر MVT آلودگی را تایید کرد، یا اگر دستگاه شما پس از بازداشت رفتارهای غیرعادی (تخلیه سریع باتری، داغ شدن بیش از حد، ظهور اپلیکیشن‌های ناشناس) نشان داد:

  1. قطع ارتباط: بلافاصله وای‌فای و اینترنت دیتا را قطع کنید (حالت پرواز کافی نیست؛ دستگاه را خاموش کنید).
  2. کیف فارادی: دستگاه را در یک کیف فارادی (یا موقتاً در مایکروویو/یخچال خاموش) قرار دهید تا سیگنال‌های راه دور مسدود شوند.
  3. بکاپ نگیرید: هرگز یک گوشی جدید را از روی بکاپ گوشی آلوده بازیابی (Restore) نکنید. با این کار احتمالاً جاسوس‌افزار را دوباره نصب خواهید کرد.
  4. تعویض سخت‌افزار: تنها روش ۱۰۰٪ امن برای حذف جاسوس‌افزارهای سطح کرنل، نابودی فیزیکی دستگاه و جایگزینی آن است.
  5. درخواست کمک: برای دریافت کمک‌های جرم‌شناسی با سازمان‌های معتمد تماس بگیرید:
    • Amnesty Tech: برای مدافعان حقوق بشر.
    • Access Now Helpline: برای فعالان و روزنامه‌نگاران.
    • Citizen Lab: برای تحقیقات سطح بالا.

۶. چک‌لیست خلاصه برای کاربران ایرانی در معرض خطر بالا

اقدامفرکانس (تکرار)توضیحات
راه‌اندازی مجدد (Reboot)روزانهایمپلنت‌های غیرماندگار را حذف می‌کند.
آپدیت سیستم‌عاملفوریآسیب‌پذیری‌های مورد استفاده NSO/Intellexa را پچ می‌کند.
حالت قرنطینه (Lockdown)همیشه فعالبرای کاربران iOS حیاتی است.
اسکن MVTماهانهیا بعد از هر رویداد مشکوک/بازداشت.
بررسی لیست اپ‌هاهفتگیحذف هرگونه اپلیکیشن ایرانی که اکیداً ضروری نیست.
رمز عبور (Passcode)دائماستفاده از کد ترکیبی (حروف و اعداد) بالای ۸ رقم، نه ۴-۶ رقم.

موضوعات مرتبط:

  • [[Operational_Security_for_High_Risk_Scenarios]]
  • [[Commercial_Platform_Hardening_and_Data_Minimization]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.