امنیت سرویس های USSD ؛ آیا حذف تراکنشهای مالی روی این بستر ضروری است؟
بانک مرکزی ادعا میکند که بسترهای USSD فاقد امنیت درست برای انجام تراکنشهای مالی هستند و از یکی دو سال پیش فشارهایی به این نوع سیستم پرداخت را اعمال کرده و آنها را محدودتر کرده ...
در دیجیاتو ثبتنام کنید
جهت بهرهمندی و دسترسی به امکانات ویژه و بخشهای مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.
عضویت در دیجیاتوتازههای تکنولوژی
بانک مرکزی ادعا میکند که بسترهای USSD فاقد امنیت درست برای انجام تراکنشهای مالی هستند و از یکی دو سال پیش فشارهایی به این نوع سیستم پرداخت را اعمال کرده و آنها را محدودتر کرده است. این بار بانک مرکزی با سیاست جدیتر خود تصمیم به حذف کامل انجام تراکنشهای مالی روی این بستر گرفته که البته با تصمیم وزارت ارتباطات و مسئولین بانک مرکزی اجرای آن تا چندماه به حالت تعلیق در آمده است. اما آیا واقعا تراکنشهای USSD مشکل امنیتی دارند و حذف آنها ضروری است؟
«محمدرضا کلهر»، کارشناس ارشد فناوری اطلاعات گسترش خدمات بانکداری الکترونیکی و رقابت شدید شرکتها برای ورود به این عرصه را یکی از اولین دلایل وارد شدن سیستم USSD به کشور عنوان میکند و البته سهم زیاد موبایلهای غیرهوشمند در آن زمان را نیز از دلایل دیگر عرضه این سیستم میداند. او به دیجیاتو میگوید:
«ورود این بسترها در کشور به بیش از 5 سال پیش بر میگردد و به مرور کاملتر شدند. شاید یادتان باشد که اوایل مجبور به وارد کردن شماره کارت در هر تراکنش بودیم و سپس شمارهکارتها در سامانهها ثبت میشدند به طوری که هرگاه با هر سیمکارت دوباره کد دستوری را وارد میکردیم دیگر نیازی به وارد کردن هرباره شماره کارت نبود. این رهاورد تنها نکته امنیتی است که میتوان در بسترهای USSD رعایت کرد و در هیچ نقطه از دنیا پا را از این فراتر نگذاشتهاند چرا که ماهیت این نوع پرداختها جایی برای مانور دادن مسایل امنیتی نمیگذارد.»
کلهر نبود زیرساختهای اینترنت در کشور را دلیل ورود چنین سیستمی به ایران میداند و میگوید که در خارج کشور متخصصان بانکی را میشناسد که اصلا این سیستم را نمیشناسند چرا که در بسیاری از نقاط جهان بستر USSD ناشناخته است. وی دلیل این ناشناختگی را عدم امنیت این شبکه عنوان میکند و USSD را سیستمی داخلی برای اپراتورها معرفی میکند که بانکداری نباید به آن وارد شود:
«در این بسترها اطلاعات بهصورت plaintext ارسال میشود و یا از پروتکلهایی استفاده میشود که به راحتی قابل رمزگشایی هستند. عمل ارسال و دریافت کدهایی که مشترک وارد میکند عملا هیچ گونه رمزنگاری ندارد و کاملا توسط افراد پشت پرده در سیستم قابل شناسایی است. راهکار وارد نکردن شماره کارت هم نمیتواند لزوما امنیت را تضمین کند چرا که هکرها میتوانند به راحتی وارد کار شوند.
هکر با قرار دادن یک ایستگاه فرستنده-گیرنده که دارای کد شبکه تلفن همراه واقعی است میتواند خودش را جای BTS (آنتنهای مخابراتی) جا بزند و به عنوان واسطه بین کاربر و شبکه واقعی مبادرت به شنود و یا حتی تغییر پیامها کند. اصولا از اینکه چرا تا الان کسی دست به این کار نزده تعجب میکنم. »
این کارشناس فناوری اطلاعات تهدیدات دیگری چون استخراج کلید مخفی از سیمکارت مشترکین (که منجر به ساخت سیمکارتی دقیقا مشابه با سیمکارت مشترک میشود) و نامعلومی وضعیت رمزنگاری برای کاربر را از جمله موارد دیگر مشکلدار در زمینه بستر USSD میداند:
«جالب است بدانید اگر در این بین هکری هم حملات خود را به سمت مشترکین آغاز کند، به دلیل پروتکل برقراری ارتباط و نبود مکانیزمی برای احراز اصالت کاربر به هیچوجه نمیتوان وقوع حملات را تشخیص داد چه مانده که بتوان مکان و زمان هکر را هم پیدا کرد.»
از نظر کلهر با اینکه USSD از پیامک (SMS) و یا MMS امنتر است اما بازهم حفرههای امنیتی زیادی دارد که دچار شدن به آنها، به رابط کاربری آسان این سیستمها نمیارزد. او در پاسخ دیجیاتو مبنی بر اینکه چرا تاکنون کسی دم از این اشکالات نزده است میگوید:
«بیش از دو سال است که کارشناسان و اهل فن و خود بانک مرکزی هشدارهایی را در رابطه با سیستمهای USSD میدهند. اعمال محدودیتهای کمی هم برای این بسترها از سوی بانک مرکزی شده ولی دلایل مختلفی میتواند این سیستم را تا به امروز زنده نگه داشته باشد. یکی همان رابط کاربر آسان و یکی هم ازدیاد گوشیهای غیرهوشمند و ساده در بین اقشار گوناگون جامعه.
البته دلایل دیگری نیز میتواند در این بین دخیل باشد همچون درآمدهای میلیاردی صدا و سیما و یا دیگر سازمانها بر اساس تبلیغات این کدها که احتمالا در آینده به صورت تبلیغات اپلیکیشنها به جای استفاده از این کدها در بیاید.»
محمدرضا کلهر اعتقاد دارد که که ترک کردن این عادات بیشتر به نفع خودمان خواهد بود تا به نفع دیگر سازمانها: «منکر نمیشوم که شاید سیاستی پشت پرده علنی شدن ناگهانی این موضوع باشد ولی امنتر شدن حسابهای بانکی بسیار مهمتر از بازیهای سیاسی احتمالی پشت پرده است.»
آنطور که کارشناسان میگویند USSD را نمیتوان از نقطه نظر کاربردهای مالی و تجاری یک کانال امن و مطمئن تلقی نمود چرا که بطور طبیعی مکانیزمی در آن برای برای رمزنگاری دادهها و یا بررسی جامعیت پیام در نظر گرفته نشدهاست.
برخی از مدیران شرکتهای فعال در این حوزه هم در واکنشهای خود نسبت به سیاست اخیر بانک مرکزی به طور ضمنی ناامن بودن آنها را تایید کردهاند، با اینحال استفاده آسان و بدون دسترسیهای خاص از سیستمهای USSD تبدیل به نوعی تنبلی و بدعادتی میلیونها مشترک شده است، عادتی که باید جایگزینی مناسب، سریع و راحت برای آن پیدا شود تا شاید ترک شود.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
سلام.بفرمایید نرم افزاری که ازطریق اینترنت میشه باهاش کار بانکی انجام داد امن هست یانه؟
طبق گفته کارشناسان به مراتب امن تر از ussd هست. البته یادتون باشه که هنگام هر تراکنش بانکی حتما فیلترشکن خودتون رو خاموش کنین.
سوالی که مطرحه اینه تا الان چه میزان حساب از طریق این کدها هک شدند؟
بله اغا
باید حذف بشه.
هیچ کشور پیشرفته ای از USSD استفاده نمیکنه.
همونطور که توی متن هم بود ، مردم اونجا اصن نمیدونن چیه.
یه کار خوب هم که میکنن ، هی زرت و زرت اعتراض.
حالا اگه حذف نکن و دو روز دیگه چند میلیون حساب هک شه ، همینایی که الان معترضن ، میان میگن این دولت فلان فلان شده ، فکر مردم نیست.
یه کار خوب که میکنن دیگه انقد ضد حال نزنید.