فیلترشکن JumpJumpVPN؛ از مکانیکی خودرو تا فیلترشکن با ۵۰ میلیون کاربر!
در ماههایی که قطعی اینترنت، فیلترینگ شدید و اختلالات گسترده، کاربران ایرانی را برای دسترسی به اینترنت آزاد مستاصل کرده است، پیدا کردن یک ابزار رایگان و البته پایدار بسیار سخت به نظر میرسد. همین نیاز مبرم باعث میشود که برخی اپلیکیشنها به سرعت میان ایرانیها دستبهدست شوند و برای هفتههای متوالی در صدر لیست برنامههای پرطرفدار گوگلپلی قرار بگیرند. فیلترشکن JumpJumpVPN یکی از همین ابزارهاست که تاکنون بیش از ۵۰ میلیون بار از گوگلپلی دانلود شده است. بررسیهای دقیقتر پسکوچه نشان میدهد که پشت این ویترین جذاب و آمار دانلود میلیونی، تلهای بزرگ برای حریم خصوصی و امنیت کاربران پنهان شده است.
ارزیابی پسکوچه
- سند حریم خصوصی: ناقص، مبهم و دارای تناقضهای فنی
- وبسایت رسمی: دارد
- شرکت سازنده: SOON BODYWERKZ AUTO PTE. LTD
- محل فعالیت: سنگاپور
- آدرسهای ایمیل: support@jumpjump.io و mylitevpn2021@gmail.com
- کد منبع: باز نیست
- تاریخ انتشار: ۶ سپتامبر ۲۰۲۳
- آخرین بهروزرسانی: ۹ ژوئن ۲۰۲۶
سطح دسترسی (بر اساس گوگلپلی)
- خواندن محتوای حافظه، کارت حافظه و امکان تغییر یا حذف فایلهای شخصی
- خواندن وضعیت دستگاه و شناسه سختافزاری گوشی
- مشاهده و دسترسی کامل به اتصالات شبکه و اینترنت
- مشاهده اطلاعات دقیق اتصالات وایفای
- جلوگیری از به خواب رفتن دستگاه
- خواندن تنظیمات و پیکربندی سرویسهای گوگل
در ماههایی که قطعی اینترنت، فیلترینگ شدید و اختلالات گسترده، کاربران ایرانی را برای دسترسی به اینترنت آزاد مستاصل کرده است، پیدا کردن یک ابزار رایگان و البته پایدار بسیار سخت به نظر میرسد. همین نیاز مبرم باعث میشود که برخی اپلیکیشنها به سرعت میان ایرانیها دستبهدست شوند و برای هفتههای متوالی در صدر لیست برنامههای پرطرفدار گوگلپلی قرار بگیرند. فیلترشکن JumpJumpVPN یکی از همین ابزارهاست که تاکنون بیش از ۵۰ میلیون بار از گوگلپلی دانلود شده است. بررسیهای دقیقتر پسکوچه نشان میدهد که پشت این ویترین جذاب و آمار دانلود میلیونی، تلهای بزرگ برای حریم خصوصی و امنیت کاربران پنهان شده است.
یکی از اولین و اساسیترین اصول در انتخاب یک ابزار امنیتی، شناخت دقیق تیمی است که پشت آن قرار دارد. وقتی شناسنامه حقوقی شرکت سازنده JumpJumpVPN را زیر ذرهبین قرار میدهیم، با یک تناقض بیسابقه روبهرو میشویم؛ این اپلیکیشن توسط نهادی به نام SOON BODYWERKZ AUTO PTE. LTD (با شماره ثبت اختصاصی 201319960G) در سنگاپور ثبت شده که هسته اولیه آن در سال ۲۰۱۰ به عنوان یک کسبوکار انفرادی شکل گرفته و در سال ۲۰۱۳ به صورت شرکت سهامی خاص معاف از مالیات بازآفرینی شده است. طبق سیستم طبقهبندی استاندارد صنایع سنگاپور (SSIC)، فعالیت اصلی این مجموعه «تعمیر و نگهداری وسایل نقلیه موتوری و نصب قطعات یدکی خودرو» ثبت شده است. اگرچه فعالیت ثانویه آنها توسعه نرمافزار عنوان شده، اما در متن قانون یک استثنای حیاتی وجود دارد: «به جز بازیها و نرمافزارهای امنیت سایبری»! این یعنی شرکت مذکور عملاً هیچ صلاحیت فنی یا اجازه قانونی برای ساخت ابزارهای امنیتی نظیر ویپیان ندارد، بماند که در اسناد مالی قدیمیتر، ردپای فعالیت آنها در صنف مدیریت کافیشاپ و رستوران نیز دیده میشود.
عجیبتر این است که این تشکیلات با ادعای فعالیت همزمان در سه حوزه کاملاً بیربط مکانیکی خودرو، رستورانداری و برنامهنویسی، طبق آخرین آمار رسمی تنها ۳ کارمند یا مدیر رسمی دارد! تغییرات آدرس ناگهانی این شرکت در سال ۲۰۲۴ از یک منطقه صنعتی به یک مجتمع مسکونی در حاشیه شهر و عدم ارسال اظهارنامه سالانه از سال ۲۰۱۸ به بعد، احتمال صوری بودن این ساختار را بیش از پیش تقویت میکند. چطور ممکن است یک تیم کوچک که تخصص رسمیشان تعویض روغن و صافکاری ماشین در سنگاپور است، پشت فیلترشکنی با بیش از ۵۰ میلیون دانلود قرار بگیرند؟ این هویت تاریک و بیربط، قویترین سند است که نشان میدهد این شرکت سنگاپوری به احتمال قوی یک پوشش کاغذی برای پنهان کردن مالکان واقعی یک شبکه بزرگ جمعآوری اطلاعات است.
جالب اینجاست که این شرکت، پیش از این فیلترشکن دیگری به نام biubiuVPN را هم روانه بازار کرده بود که آن هم بیش از یک میلیون بار دانلود شده و به همین شکل، اطلاعات کاربران را جمعآوری کرده است که البته در حال حاضر گوگل این ویپیان را از روی فروشگاه پلیاستور حذف کرده است.
شرکتی که ادعا میکند ۵۰ میلیون کاربر دارد، حداقل باید یک پشتیبانی حرفهای و رسمی داشته باشد. اما در صفحه گوگلپلی و اسناد فنی دیگر یا نسخههای قدیمیتر این فیلترشکن، دو ایمیل کاملاً متفاوت و بیربط به هم گذاشته شده است؛ یکی ایمیل رسمی شرکت (support@jumpjump.io) و دیگری یک جیمیل کاملاً معمولی و آماتور به آدرس mylitevpn2021@gmail.com! یک فیلترشکن معمولی برای اینکه شما را به اینترنت آزاد متصل کند، نیازی به دسترسیهای زیاد ندارد و همین که اجازه ساخت یک اتصال مجازی (VPN) را داشته باشد کافی است. اما لیست دسترسیهای JumpJumpVPN فراتر از یک ابزار ساده است و بیشتر شبیه برنامههای مشکوکی است که میخواهند اطلاعات گوشی را بدزدند.
بزرگترین زنگ خطر، درخواست دسترسی به حافظه داخلی گوشی است. این اپلیکیشن نه تنها اجازه خواندن تمام فایلهای شما را میگیرد، بلکه اجازه تغییر و حذف اطلاعات حافظه را هم دریافت میکند! یک فیلترشکن که قرار نیست هیچ فایلی را دانلود کند یا کانفیگی را از روی حافظه بخواند، چرا باید به عکسهای خانوادگی، ویدیوها و اسناد شخصی شما دسترسی داشته باشد و حق پاک کردن آنها را به دست بیاورد؟ این سطح از دسترسی، خطر سرقت اطلاعات یا تزریق کدهای مخرب و بدافزارها را به شدت بالا میبرد.
دسترسی نگرانکننده بعدی، خواندن وضعیت و هویت دستگاه است. این مجوز به اپلیکیشن اجازه میدهد به اطلاعات حساسی شامل IMEI گوشی، شماره تلفن، مشخصات سیمکارت و وضعیت مکالمات شما دسترسی داشته باشد. از آنجا که یک سرویس VPN برای ایجاد تونل امن و تغییر آیپی هیچ نیاز فنی به این دادهها ندارد، دریافت این مجوز بستر را برای ردیابی دائمی و پروفایلسازی رفتاری فراهم میکند؛ خطری جدی که هویت واقعی شما را فاش کرده و فلسفه اصلی ناشناسی در VPN را از بین میبرد.
خوشبختانه گوگل از اندروید ۱۰ به بعد، دسترسی اپلیکیشنها به شناسههای سختافزاری حساس مثل IMEI را به کلی مسدود کرده است. با این حال، تمرکز اصلی چنین سرویسهای مشکوکی روی کاربرانی است که همچنان از نسخههای قدیمیتر اندروید استفاده میکنند؛ یا اینکه توسعهدهندگان این برنامهها عمدا استاندارد ساخت اپلیکیشن خود را روی قوانین نسخههای قدیمی تنظیم میکنند تا بتوانند از خلاءهای امنیتی گوشیهای بهروزرسانینشده، برای استخراج این اطلاعات سوءاستفاده کنند.
اگر به متن سند حریم خصوصی این فیلترشکن نگاه کنید، سازندگان با قاطعیت ادعا میکنند که ما یک سرویس "No-Logs" هستیم، ترافیک شما را ذخیره نمیکنیم و به حریم خصوصی شما پایبندیم. اما کافی است چند خط پایینتر بیایید تا ببینید چگونه خودشان، ادعای خودشان را نقض میکنند!
در بخش جمعآوری اطلاعات صراحتاً نوشته شده است: ما اطلاعاتی را که برای بهبود تجربه شما لازم است جمعآوری میکنیم؛ اطلاعاتی مانند آدرس آیپی ، مدت زمان استفاده و دادههای ترافیکی. بدتر اینکه در سند حریم خصوصی اشاره شده که هنگام استفاده از نسخه اندروید، اطلاعات اضافی دیگری هم جمعآوری میشود اما هیچ توضیحی درباره جزئیات آن ندادهاند. در نهایت اصلاً مشخص نیست که آنها با این حجم از دادههای حساس چه کار میکنند و این اطلاعات را به دست چه کسانی میرسانند.
سازندگان این فیلترشکن ادعا میکنند که دادههای کاربران را به شرکتهای دیگر نمیدهند، اما رفتار برنامه چیز دیگری را نشان میدهند. بررسیهای امنیتی پلتفرمهای معتبر ثابت کرده که این فیلترشکن ۱۲ ردیاب دارد که دائما در حال جمعآوری اطلاعات رفتاری شما هستند. کار یک ردیاب این است که مشخصات گوشی، لوکیشن و رفتار شما در اینترنت را جمع کند و برای شرکتهای تبلیغاتی بفرستد. حالا حسابش را بکنید این فیلترشکن که قرار است ردپای شما را در اینترنت پاک کند، خودش ۱۲ ردیاب مخفی دارد؛ از چهار ردیاب فیسبوک و سه ردیاب گوگل گرفته تا ردیابهای تجاری و تبلیغاتی دیگر مثل ironSource، AppMetrica و حتی ردیاب روسی «یاندکس»! این یعنی تمام فعالیتها و کلیکهای شما بستهبندی میشود و سر از دهها سرور مختلف در سراسر دنیا درمیآورد تا احتمالا از اطلاعات شما پول درآورند یا آنها را بفروشند.
نتیجهگیری
فیلترشکن JumpJumpVPN با وعده سرعت بالا و رایگان بودن، از وضعیت بحرانی اینترنت در ایران سوءاستفاده کرده و امنیت میلیونها کاربر را به بازی گرفته است. این برنامه به دلیل تعلق به یک شرکت تعمیرگاه خودرو در سنگاپور، دسترسیهای خطرناکی مثل تغییر و حذف فایلهای شخصی و خواندن هویت گوشی را از کاربر میگیرد. از طرفی، برخلاف ادعاهایش، آدرس آیپي و اطلاعات ترافیک شما را ذخیره میکند و با داشتن ۱۲ ردیاب، دیتای شما را به سرورهای تبلیغاتی دنیا میفرستد.
پسکوچه توصیه میکند از دانلود و نصب این برنامه خودداری کنید و اگر آن را روی گوشی دارید، همین حالا آن را حذف کنید؛ چرا که حریم خصوصی و امنیت شما بسیار باارزشتر از آن است که توسط یک اپلیکیشن ناامن مورد خطر قرار بگیرد. برای عبور از فیلترینگ، همیشه به ابزارهای امن، معتبر، شناختهشده و ترجیحاً با کد منبعباز اتکا کنید.