امنیت سرویس های USSD ؛ آیا حذف تراکنش‌های مالی روی این بستر ضروری است؟

0 3

بانک مرکزی ادعا می‌کند که بسترهای USSD فاقد امنیت درست برای انجام تراکنش‌های مالی هستند و از یکی دو سال پیش فشارهایی به این نوع سیستم پرداخت را اعمال کرده و آنها را محدودتر کرده است. این بار بانک مرکزی با سیاست جدی‌تر خود تصمیم به حذف کامل انجام تراکنش‌های مالی روی این بستر گرفته که البته با تصمیم وزارت ارتباطات و مسئولین بانک مرکزی اجرای آن تا چندماه به حالت تعلیق در آمده است. اما آیا واقعا تراکنش‌های USSD مشکل امنیتی دارند و حذف آنها ضروری است؟

«محمدرضا کلهر»، کارشناس ارشد فناوری اطلاعات گسترش خدمات بانکداری الکترونیکی و رقابت شدید شرکت‌ها برای ورود به این عرصه را یکی از اولین دلایل وارد شدن سیستم USSD به کشور عنوان می‌کند و البته سهم زیاد موبایل‌های غیرهوشمند در آن زمان را نیز از دلایل دیگر عرضه این سیستم می‌داند. او به دیجیاتو می‌گوید:

«ورود این بسترها در کشور به بیش از 5 سال پیش بر می‌گردد و به مرور کامل‌تر شدند. شاید یادتان باشد که اوایل مجبور به وارد کردن شماره کارت در هر تراکنش بودیم و سپس شماره‌‌کارت‌ها در سامانه‌ها ثبت می‌شدند به طوری که هرگاه با هر سیم‌کارت دوباره کد دستوری را وارد می‌کردیم دیگر نیازی به وارد کردن هرباره شماره کارت نبود. این رهاورد تنها نکته امنیتی است که می‌توان در بسترهای USSD رعایت کرد و در هیچ نقطه از دنیا پا را از این فراتر نگذاشته‌اند چرا که ماهیت این نوع پرداخت‌ها جایی برای مانور دادن مسایل امنیتی نمی‌گذارد.»

کلهر نبود زیرساخت‌های اینترنت در کشور را دلیل ورود چنین سیستمی به ایران می‌داند و می‌گوید که در خارج کشور متخصصان بانکی را می‌شناسد که اصلا این سیستم را نمی‌شناسند چرا که در بسیاری از نقاط جهان بستر USSD ناشناخته است. وی دلیل این ناشناختگی را عدم امنیت این شبکه عنوان می‌کند و USSD را سیستمی داخلی برای اپراتورها معرفی می‌کند که بانکداری نباید به آن وارد شود:

«در این بسترها اطلاعات به‌صورت plaintext ارسال می‌شود و یا از پروتکل‌هایی استفاده می‌شود که به راحتی قابل رمزگشایی هستند. عمل ارسال و دریافت کدهایی که مشترک وارد می‌کند عملا هیچ گونه رمزنگاری ندارد و کاملا توسط افراد پشت پرده در سیستم قابل شناسایی است. راهکار وارد نکردن شماره کارت هم نمی‌تواند لزوما امنیت را تضمین کند چرا که هکرها می‌توانند به راحتی وارد کار شوند.

هکر با قرار دادن یک ایستگاه فرستنده-گیرنده که دارای کد شبکه تلفن همراه واقعی است می‌تواند خودش را جای BTS (آنتن‌های مخابراتی) جا بزند و به عنوان واسطه بین کاربر و شبکه واقعی مبادرت به شنود و یا حتی تغییر پیام‌ها کند. اصولا از اینکه چرا تا الان کسی دست به این کار نزده تعجب می‌کنم. »

این کارشناس فناوری اطلاعات تهدیدات دیگری چون استخراج کلید مخفی از سیم‌کارت مشترکین (که منجر به ساخت سیم‌کارتی دقیقا مشابه با سیم‌کارت مشترک می‌شود) و نامعلومی وضعیت رمزنگاری برای کاربر را از جمله موارد دیگر مشکل‌دار در زمینه بستر USSD می‌داند:

«جالب است بدانید اگر در این بین هکری هم حملات خود را به سمت مشترکین آغاز کند، به دلیل پروتکل برقراری ارتباط و نبود مکانیزمی برای احراز اصالت کاربر به هیچ‌وجه نمی‌توان وقوع حملات را تشخیص داد چه مانده که بتوان مکان و زمان هکر را هم پیدا کرد.»

از نظر کلهر با اینکه USSD از پیامک (SMS) و یا MMS امن‌تر است اما بازهم حفره‌های امنیتی زیادی دارد که دچار شدن به آنها، به رابط کاربری آسان این سیستم‌ها نمی‌ارزد. او در پاسخ دیجیاتو مبنی بر اینکه چرا تاکنون کسی دم از این اشکالات نزده است می‌گوید:

«بیش از دو سال است که کارشناسان و اهل فن و خود بانک مرکزی هشدارهایی را در رابطه با سیستم‌های USSD می‌دهند. اعمال محدودیت‌های کمی هم برای این بسترها از سوی بانک مرکزی شده ولی دلایل مختلفی می‌تواند این سیستم را تا به امروز زنده نگه داشته باشد. یکی همان رابط کاربر آسان و یکی هم ازدیاد گوشی‌های غیرهوشمند و ساده در بین اقشار گوناگون جامعه.

البته دلایل دیگری نیز می‌تواند در این بین دخیل باشد همچون درآمدهای میلیاردی صدا و سیما و یا دیگر سازمان‌ها بر اساس تبلیغات این کدها که احتمالا در آینده به صورت تبلیغات اپلیکیشن‌ها به جای استفاده از این کدها در بیاید.»

محمدرضا کلهر اعتقاد دارد که که ترک کردن این عادات بیشتر به نفع خودمان خواهد بود تا به نفع دیگر سازمان‌ها: «منکر نمی‌شوم که شاید سیاستی پشت پرده علنی شدن ناگهانی این موضوع باشد ولی امن‌تر شدن حساب‌های بانکی بسیار مهم‌تر از بازی‌های سیاسی احتمالی پشت پرده است.»

آنطور که کارشناسان می‌گویند USSD را نمیتوان از نقطه‌ نظر کاربردهای مالی و تجاری یک کانال امن و مطمئن تلقی نمود چرا که بطور طبیعی مکانیزمی در آن برای برای رمزنگاری داده‌ها و یا بررسی جامعیت پیام در نظر گرفته نشده‌است.

برخی از مدیران شرکت‌های فعال در این حوزه هم در واکنش‌های خود نسبت به سیاست اخیر بانک مرکزی به طور ضمنی ناامن بودن آنها را تایید کرده‌اند، با این‌حال استفاده آسان و بدون دسترسی‌های خاص از سیستم‌های USSD تبدیل به نوعی تنبلی و بدعادتی میلیون‌ها مشترک شده است، عادتی که باید جایگزینی مناسب، سریع و راحت برای آن پیدا شود تا شاید ترک شود.

منبع: امنیت سرویس های USSD ؛ آیا حذف تراکنش‌های مالی روی این بستر ضروری است؟

ممکن است شما دوست داشته باشید

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.