فیلترشکن SpeedTop VPN؛ از ردیابهای روسی تا کدهای مشکوک شنود!
مدتی پیش در مطلبی که در بلاگ پسکوچه منتشر شد، نگاهی به فیلترشکن JumpJumpVPN داشتیم و اعلام کردیم که پشتپرده این ابزار شرکتی قرار دارد که روی کاغذ، نه یک شرکت فناوری، بلکه یک تعمیرگاه و صافکاری خودرو در سنگاپور است. آن زمان شاید تصور میشد این فقط یک نمونه عجیب باشد؛ اما بررسیهای جدید نشان میدهد ماجرا به همانجا ختم نشده است. حالا همان مجموعه، فیلترشکنی به نام SpeedTop VPN نیز در کارنامه خود ثبت کرده است؛ برنامهای که در گوگلپلی بیش از ۱۰ میلیون بار دانلود شده و ردپای همان اطلاعات ثبتی و حتی همان ایمیل پشتیبانی قبلی در آن دیده میشود. ارتباط این دو پروژه بهنظر میرسد جدی است و سازندگان هر دو یک مجموعه واحد است.
ارزیابی پسکوچه
- سند حریم خصوصی: بهظاهر استاندارد اما دارای تناقضهای فنی
- وبسایت رسمی: دارد
- شرکت سازنده: SOON BODYWERKZ AUTO PTE. LTD
- محل فعالیت: سنگاپور
- آدرسهای ایمیل: support@speedtop.io و mylitevpn2021@gmail.com
- کد منبع: باز نیست
- تاریخ انتشار: ۱۸ ژوئن ۲۰۲۵
- آخرین بهروزرسانی: ۲۵ مه ۲۰۲۶
سطح دسترسی (بر اساس گوگلپلی)
- خواندن محتوای حافظه، کارت حافظه و امکان تغییر یا حذف فایلهای شخصی
- خواندن وضعیت دستگاه و شناسه سختافزاری گوشی
- مشاهده و دسترسی کامل به اتصالات شبکه و اینترنت
- مشاهده اطلاعات دقیق اتصالات وایفای
- جلوگیری از به خواب رفتن دستگاه
مدتی پیش در مطلبی که در بلاگ پسکوچه منتشر شد، نگاهی به فیلترشکن JumpJumpVPN داشتیم و اعلام کردیم که پشتپرده این ابزار شرکتی قرار دارد که روی کاغذ، نه یک شرکت فناوری، بلکه یک تعمیرگاه و صافکاری خودرو در سنگاپور است. آن زمان شاید تصور میشد این فقط یک نمونه عجیب باشد؛ اما بررسیهای جدید نشان میدهد ماجرا به همانجا ختم نشده است. حالا همان مجموعه، فیلترشکنی به نام SpeedTop VPN نیز در کارنامه خود ثبت کرده است؛ برنامهای که در گوگلپلی بیش از ۱۰ میلیون بار دانلود شده و ردپای همان اطلاعات ثبتی و حتی همان ایمیل پشتیبانی قبلی در آن دیده میشود. ارتباط این دو پروژه بهنظر میرسد جدی است و سازندگان هر دو یک مجموعه واحد است.
روی کاغذ همهچیز شاید استاندارد به نظر برسد. وبسایت رسمی دارد، سند حریم خصوصی آن پر از اصطلاحاتی مثل GDPR و CCPA است و بارها تأکید میکند که SpeedTop یک سرویس No-Logs است؛ یعنی اطلاعات کاربران را ذخیره یا ردیابی نمیکند. اما وقتی خود برنامه را از طریق ابزارهای فنی کالبدشکافی میکنید، تصویر دیگری میبینید. در کدهای این اپلیکیشن دستکم ۱۳ ردیاب مختلف شناسایی شده؛ از سرویسهای گوگل و فیسبوک گرفته تا AppMetrica، ironSource، Fyber و حتی یاندکس روسی. وجود این ردیابها الزاماً به معنای سرقت اطلاعات نیست، اما با ادعای «بدون ردیابی» فاصله قابل توجهی دارد و این سؤال را ایجاد میکند که دقیقاً چه دادههایی از کاربران جمعآوری میشود.
موضوع فقط به ردیابها ختم نمیشود. بررسی مجوزهاهای برنامه نشان میدهد SpeedTop VPN از کاربر ۳۷ دسترسی مختلف درخواست میکند؛ عددی که برای یک فیلترشکن معمولی غیرعادی به نظر میرسد. تحلیل استاتیک این ویپیان نشان میدهد که در پشت ظاهر کاربردی این ویپیان، ریسکهای حریم خصوصی و امنیتی جدی نهفته است. یکی از مهمترین یافته فنی در این ویپیان، وجود یک موتور شبکه همتابههمتا (libp2pnet.so) در کد آن است. SpeedTop صرفا یک اتصال یکطرفه به سرور برقرار نمیکند، بلکه این قابلیت را دارد که گوشی شما را به یک نقطه رله برای عبور ترافیک اینترنت دیگر کاربران تبدیل کند.
کالبدشکافی این بخش از کد، ابعاد نگرانکنندهتری از این پنهانکاری را فاش میکند: شبکه پوششی توزیعشده (DHT): این موتور یک شبکه غیرمتمرکز بر پایه جدول هش توزیعشده ایجاد میکند تا گوشیهای کاربران بتوانند بدون نیاز به سرور مرکزی، یکدیگر را در سراسر وب پیدا کنند. وبسرور داخلی و پنهان: درون این لایه، یک سرور ابزار انتقال متن داخلی (با استفاده از کتابخانه httplib) تعبیه شده است. این یعنی گوشی شما عملاً به یک مینیسرور تبدیل میشود که میتواند به درخواستهای اینترنتی ورودی از بیرون گوش دهد و آنها را بپذیرد. دفترچه ثبت گرهها: وجود توابع صریحی مانند GetNetworkNodes (دریافت لیست گوشیهای دیگر به همراه تگ کشور) و DropNode نشان میدهد که برنامه به طور دائم در حال رصد و مدیریت گوشیهای فعال در این شبکه اشتراکی است. رد و بدل کردن سیگنالهای پنهان: اپلیکیشن از دو مسیر اینترنتی اختصاصی به نامهای /api/v1/heartbeat (برای اعلام زنده و آنلاین بودن گوشی شما در شبکه P2P) و /api/v1/p2p_message برای رد و بدل کردن مخفیانه دادهها استفاده میکند. در نمونههای معتبر مثل سایفون کاندوییت، پروژه کاملا علنی و متنباز است و کاربر با آگاهی کامل و به صورت داوطلبانه آن را روشن میکند. اما در SpeedTop، این ویژگی به صورت چراغخاموش و بدون اطلاع کاربر جاسازی شده است. همچنین امکان فعال یا غیرفعال شدن رله کامل دست اپلیکیشن است و از طریق تنظیمی که برنامه در زمان استارت از سرور میگیرد، تعیین میکند که گوشی شما چه زمانی نقش رله را بازی کند.
مشخص نیست که آیا گوشی فقط یک واسطه میانی رمزنگاریشده است یا ترافیک دیگران قرار است از اینترنت کاربر به عنوان نقطه نهایی وارد وب عمومی شود. اگر دومی باشد، تمام فعالیتهای غیرقانونی یا حساس یک کاربر دیگر، با آدرس IP و به نام شما ثبت میشود. این ویپیان دارای دسترسی BIND_NOTIFICATION_LISTENER_SERVICE است که به آن اجازه میدهد محتوای تمام اعلانها را بخواند. اگرچه این قابلیت به صورت پیشفرض غیرفعال است و نیاز به تایید دستی کاربر دارد، اما وجود ابزاری با این پتانسیل در یک ویپیان توجیهی ندارد.
وقتی یک اپلیکیشن این مجوز را در کدهای خود داشته باشد، یعنی پتانسیل این را دارد که مثل یک ناظر روی بخش اعلانات گوشی شما قرار بگیرد و هر اعلانی که در صفحه ظاهر شود، ابتدا از زیر دست این مجوز رد میشود. بررسی فنی نشان میدهد این قابلیت خطرناک، به دلیل استفاده از یک کتابخانه آماده اعلانات (awesome_notifications) وارد کدهای برنامه شده است. سازندگان برنامه برای اینکه بتوانند اعلانات خود ویپیان را مدیریت کنند، از یک تکه کد آماده و عمومی استفاده کردهاند که این ابزارِ جاسوسی خفته هم درون آن وجود داشته است.
خوشبختانه سیستمعامل اندروید به هیچ برنامهای اجازه نمیدهد که به طور خودکار و پنهانی این دسترسی را فعال کند. یعنی تا زمانی که شما با دست خودتان وارد تنظیمات گوشی نشوید و این مجوز را برای برنامه روشن نکنید، این ابزار غیرفعال است. بررسی اطلاعات ثبتی هم ابهامهای جالبی دارد. توسعهدهنده رسمی برنامه شرکتی با نام SOON BODYWERKZ AUTO PTE. LTD است؛ شرکتی که طبق اطلاعات ثبتشده در سنگاپور، سالها در حوزه تعمیر و نگهداری خودرو فعالیت داشته و اکنون بهعنوان ناشر نرمافزار و ابزارهای دورزدن فیلترینگ شناخته میشود. از طرف دیگر، استفاده از همان آدرس جیمیل قدیمی که پیشتر در JumpJumpVPN دیده بودیم، این فرضیه را تقویت میکند که هر دو برنامه توسط یک مجموعه اداره میشوند؛ هرچند توسعهدهنده تاکنون توضیحی درباره این شباهتها ارائه نکرده است.
نتیجهگیری
در نهایت، آنچه استفاده از SpeedTop VPN را نگرانکننده میکند، فقط تعداد دانلودها یا ردیابهای آن نیست؛ بلکه مجموعهای از نشانههاست که در کنار هم قرار میگیرند؛ از هویت مبهم توسعهدهنده گرفته تا ادعاهای حریم خصوصی، تعداد بالای مجوزهای درخواستی و وجود سرویسهای متعدد ردیابی. اگر حفظ حریم خصوصی برایتان اهمیت دارد، قبل از نصب هر فیلترشکن رایگان، فقط به تعداد دانلود یا امتیاز گوگلپلی اکتفا نکنید. چند دقیقه بررسی درباره توسعهدهنده و مجوزهای برنامه، شاید از دردسرهای بزرگتری در زمینه امنیت دیجیتال و حریم خصوصی در آینده جلوگیری کند.