بچها همه چیزای مربوط به شیر و خورشید رو اینجا میذارم، شما هم میتونید اضافه کنید.
https://pad.zist.digital/p/Shir
این چندوقت نبودم حسابی مشغول آپدیت چیزی بودم...
اینجا قبلا مارک داون ساپورت نمیکرد!؟ انی وی میخواستم بگم که قصدم تخریب نیست که این پست رو نوشتم چون توی توییتر بهم حمله شد که تو فلان و تو بیسار، قصدم اینه که آگاه باشید از چیزی که دارید استفاده میکنید.
از وقتی این پست رو نوشتم، فقط با دیدن تمرکز مشکوک بعضی اکانتهای مورددار که همزمان در حال پروموت این VPN بودند( شیر و خورشید )، به ماجرا شک کردم. اما بعد از یک بررسی کوتاه سورسکد، به چند مشکل امنیتی جدی رسیدم که به نظر من این اپلیکیشن برای استفادهی مبارزان، فعالان و افراد در معرض خطر مناسب نیست. شاید برای کاربران عادی و استفادهی غیرسیاسی قابل قبول باشد، ولی برای کسانی که امنیتشان حیاتی است، ریسک بالایی دارد.
در ادامه مشکلات را از کماهمیتتر به بحرانیتر، همراه با اشاره به بخش کد مربوطه آوردهام:
**۱. باز ماندن پروکسی روی شبکه محلی (LAN) بدون احراز هویت**
اگر کاربر بهطور اتفاقی یا ندانسته گزینه «اشتراکگذاری پروکسی روی شبکه» را فعال کند، اپلیکیشن پروکسیهای SOCKS و HTTP خود را روی **تمام رابطهای شبکه** بدون هیچ احراز هویتی باز میگذارد.
(قابل بررسی در کد: شرط `if (tunnelConfig.shareProxyOnNetwork)`)
نتیجه: هر کسی که در همان وایفای (مثل کافه، هتل، فرودگاه یا محل کار) باشد، میتواند از ترافیک شما سوءاستفاده کند.
**۲. نشت لیست سرورها بهصورت متنباز از طریق NFC**
قابلیت NFC در این اپ، لیست سرورهای Psiphon را **بدون هیچ رمزنگاری** و فقط به صورت Raw ASCII منتقل میکند. چون AID برنامه ثابت است و سرویس هم کاملاً باز (`android:exported=true`)، هر دستگاه یا اپ مخرب مجهز به NFC در نزدیکی گوشی شما میتواند این لیست را بدزدد.
این موضوع هم حریم خصوصی را به خطر میاندازد و هم عملاً یک هدیه رایگان به سیستم فیلترینگ برای شناسایی و مسدود کردن سریع آیپیها است (مخصوصاً در مکانهای شلوغ مثل مترو).
**۳. 🚨 مشکل بسیار بحرانی: ارسال موقعیت مکانی فیزیکی به سرورها**
هرگاه دسترسی به موقعیت مکانی (Location) گوشی فعال باشد (حتی حالت Coarse و حدودی)، مختصات جغرافیایی شما (GeoHash) داخل تنظیمات تونل قرار گرفته و در همان Handshake اولیه مستقیماً به سرورهای Psiphon ارسال میشود!
(کد مربوطه: `JSON.put("DeviceLocation", tunnelConfig.deviceLocation)`)
این یک فاجعه حریم خصوصی است. اگر سرورهای Psiphon تحت نظارت یا compromise قرار بگیرند، موقعیت فیزیکی شما مستقیماً به نشستهای تونل متصل میشود و هویت و مکانتان به راحتی لو میرود.
-----
در نهایت، تصمیمگیری و مسئولیت امنیت کاملاً با خود شماست.
ویپیان یا ابزاری که همین الان استفاده میکنید هم ممکن است مشکلات مشابهی داشته باشد که هنوز بررسی نشده. همیشه با دقت انتخاب کنید و برای کارهای حساس، از ابزارهایی استفاده کنید که کدشان شفافتر بررسی شده و حریم خصوصی را جدیتر بگیرند.
امن بمانید.
از وقتی این پست رو نوشتم، فقط با دیدن تمرکز مشکوک بعضی اکانتهای مورددار که همزمان در حال پروموت این VPN بودند( شیر و خورشید )، به ماجرا شک کردم. اما بعد از یک بررسی کوتاه سورسکد، به چند مشکل امنیتی جدی رسیدم که به نظر من این اپلیکیشن برای استفادهی مبارزان، فعالان و افراد در معرض خطر مناسب نیست. شاید برای کاربران عادی و استفادهی غیرسیاسی قابل قبول باشد، ولی برای کسانی که امنیتشان حیاتی است، ریسک بالایی دارد.
در ادامه مشکلات را از کماهمیتتر به بحرانیتر، همراه با اشاره به بخش کد مربوطه آوردهام:
**۱. باز ماندن پروکسی روی شبکه محلی (LAN) بدون احراز هویت**
اگر کاربر بهطور اتفاقی یا ندانسته گزینه «اشتراکگذاری پروکسی روی شبکه» را فعال کند، اپلیکیشن پروکسیهای SOCKS و HTTP خود را روی **تمام رابطهای شبکه** بدون هیچ احراز هویتی باز میگذارد.
(قابل بررسی در کد: شرط `if (tunnelConfig.shareProxyOnNetwork)`)
نتیجه: هر کسی که در همان وایفای (مثل کافه، هتل، فرودگاه یا محل کار) باشد، میتواند از ترافیک شما سوءاستفاده کند.
**۲. نشت لیست سرورها بهصورت متنباز از طریق NFC**
قابلیت NFC در این اپ، لیست سرورهای Psiphon را **بدون هیچ رمزنگاری** و فقط به صورت Raw ASCII منتقل میکند. چون AID برنامه ثابت است و سرویس هم کاملاً باز (`android:exported=true`)، هر دستگاه یا اپ مخرب مجهز به NFC در نزدیکی گوشی شما میتواند این لیست را بدزدد.
این موضوع هم حریم خصوصی را به خطر میاندازد و هم عملاً یک هدیه رایگان به سیستم فیلترینگ برای شناسایی و مسدود کردن سریع آیپیها است (مخصوصاً در مکانهای شلوغ مثل مترو).
**۳. 🚨 مشکل بسیار بحرانی: ارسال موقعیت مکانی فیزیکی به سرورها**
هرگاه دسترسی به موقعیت مکانی (Location) گوشی فعال باشد (حتی حالت Coarse و حدودی)، مختصات جغرافیایی شما (GeoHash) داخل تنظیمات تونل قرار گرفته و در همان Handshake اولیه مستقیماً به سرورهای Psiphon ارسال میشود!
(کد مربوطه: `JSON.put("DeviceLocation", tunnelConfig.deviceLocation)`)
این یک فاجعه حریم خصوصی است. اگر سرورهای Psiphon تحت نظارت یا compromise قرار بگیرند، موقعیت فیزیکی شما مستقیماً به نشستهای تونل متصل میشود و هویت و مکانتان به راحتی لو میرود.
-----
در نهایت، تصمیمگیری و مسئولیت امنیت کاملاً با خود شماست.
ویپیان یا ابزاری که همین الان استفاده میکنید هم ممکن است مشکلات مشابهی داشته باشد که هنوز بررسی نشده. همیشه با دقت انتخاب کنید و برای کارهای حساس، از ابزارهایی استفاده کنید که کدشان شفافتر بررسی شده و حریم خصوصی را جدیتر بگیرند.
امن بمانید.
یادش به خیر، دوست دارم ببینم برای ۲۰۲۶ چه ادیتی میزنه