همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

برای امنیت کاربران و جلوگیری از دسترسی‌های سلیقه‌ای

اپلیکیشن‌های بانکی را استاندارد کنید

هلیا ظهیری

اپلیکیشن‌های وطنی به‌رغم عمر کوتاه‌شان روز به روز بیشتر جای خود را در میان مردم باز کرده و میهمان گوشی‌های هوشمند بیشتری می‌شوند. در این میان سطح دانش و اطلاعات مردم نیز به واسطه استفاده از این اپلیکیشن‌ها رو به افزایش است اما یک مساله مهم برای کشور ما همچنان لاینحل باقی مانده است و آن موضوع امنیت اطلاعات کاربران و چرایی و چگونگی دسترسی اپلیکیشن‌ها به دیگر داده‌های موجود روی گوشی کاربران است.

حدود یک سال پیش شاهد دعوای حقوقی اسنپ و تپسی بر سر انحصار در بازار و نقض حریم خصوصی افراد بودیم؛ ماجرا از این قرار بود که اسنپ به رانندگان طرف قرارداد خود اجازه نمی‌داد با سرویس‌های رقیب به صورت همزمان کار کنند. این شرکت تاکسی‌یاب با کنترل گوشی هوشمند راننده‌ها از نصب اپلیکیشن‌های شرکت رقیب آگاه شده و به آنها پیام اخطار ارسال می‌کرد. موضوعی که فارغ از بحث انحصار،‌ ابعاد مهم دیگری هم داشت و آن تجسس و سرکشی غیرقانونی به گوشی کاربران است.

حالا پس از جنجال‌هایی که بر سر بررسی اپلیکیشن‌های نصب‌شده کاربران توسط تاکسی‌یاب اینترنتی به پا شد با پدیده دسترسی اپلیکیشن‌های بانکی روی گوشی کاربران مواجهیم. موضوع مهمی که به نظر می‌رسد اگر بی‌اهمیت تلقی شود شاهد نقض حریم خصوصی افراد و نقض حقوق شهروندی خواهیم بود.

متاسفانه موضوع استانداردسازی و تعیین میزان دسترسی‌های یک اپلیکیشن به داده‌های روی گوشی‌ مردم طبق معمول هیچ مسوول مشخصی ندارد و از همین روست که گاهی شاهد معضلاتی همچون افشای اطلاعات کاربران و حتی نگرانی‌هایی همچون نصب بدافزارها و باج‌افزارها از طریق این اپلیکیشن‌ها در بی‌اطلاعی کاربران هستیم.

اما بعد از ابلاغیه بانک مرکزی به شبکه بانکی کشور برای متوقف کردن استفاده از رمز دوم ایستا و راه‌اندازی سامانه رمز یک‌بار مصرف که ظاهرا ناقص متولد شده و پس از ضرب‌الاجل‌هایی که برای فعال کردن رمز دوم یک‌بار مصرف داده شد، اپلیکیشن‌های بانکی برای نخستین بار با دقت و حساسیت بیشتری از سوی کاربران زیر نظر گرفته شدند و مشخص شد که برخی از این اپلیکیشن‌ها دسترسی‌های خارج از عرف و استاندارد و بیش از نیاز یک اپلیکیشن را طلب می‌کنند، دسترسی‌هایی که مصداق نقض حریم خصوصی مشتریان و کاربران به شمار می‌رود.

اپلیکیشن 60 بانک ملی و دسترسی‌های نامتعارف

همزمان با ابلاغیه بانک مرکزی به شبکه بانکی کشور برای راه‌اندازی سامانه رمز یک‌بار مصرف، بانک ملی از مشتریانش خواست که برای فعال کردن رمزدوم یک‌بار مصرف خود اقدام کنند. همان‌طور که در شماره‌‌ دو هفته قبل عصر ارتباط مطرح کردیم این موضوع صدای اعتراض برخی کاربران این بانک را بلند کرد.

فارغ از نصب اپلیکیشن‌های متعدد برای دریافت رمز دوم اینترنتی که با ابهامات و اعتراضاتی از سوی کاربران مواجه شد، نکته مهمی که مورد اعتراض کاربران اپلیکیشن 60 بانک ملی واقع شد، به سطح دسترسی غیر متعارف این اپلیکیشن به گوشی متقاضیان باز می‌گشت.

این نرم‌افزار دسترسی به عکس و فیلم و محتوای کارت حافظه و حتی تغییر دادن یا پاک کردن و خواندن داد‌ه‌‌های کارت حافظه کاربران را مطالبه می‌کند؛ اتفاقی که نارضایتی و تعجب بسیاری از مشتریان این بانک را به دنبال داشت و در شبکه‌های اجتماعی نیز همچنان در مورد آن بحث و سخن فراوان است. حتی برخی کاربران به علت این سطح دسترسی غیر متعارف آن هم برای صدور یک رمز یک‌بار مصرف، خواستار عدم نصب این اپلیکیشن و ارایه راهکاری جانبی از سوی بانک ملی هستند.

این موضوع حتی با واکنش یک مقام حقوقی در وزارت ارتباطات و فناوری اطلاعات هم مواجه شد، هرچند که

علی‌رغم وجود نارضایتی مشتریان، بانک ملی تاکنون واکنشی به این مساله نشان نداده است.

اقتصاد نوین و دسترسی به پیامک‌ها

اما هفته گذشته یکی از مشتریان بانک اقتصاد نوین با سرویس بانکداری الکترونیکی هفته‌نامه عصر ارتباط تماس گرفته و اظهار كرد:" به محض ارسال پیامک به گوشی مبنی بر صدور قبوض مختلف، با پیام اپلیکیشن بانک اقتصاد نوین براي پرداخت قبوض مواجه می‌شوم."

این کاربر در ادامه گفت: "موبایل‌بانک اقتصاد نوین به لیست پیامک‌ها دسترسی دارد و هر زمان پیامک قبوض صادر می‌شود دعوت به پرداخت از این اپلیکیشن می‌کند!"

این ابهام را با سلمان شمس، رییس اداره بانکداری مدرن بانک اقتصاد نوین مطرح کردیم. وی می‌گوید:"در گوشی‌‌های اندرویدی از کاربر سوال می‌شود که آیا می‌خواهد اپلیکیشن مذکور امکان دسترسی به پیامک‌ها را داشته باشد یا خیر و همان ابتدا این مشتری است که اجازه دسترسی را صادر می‌کند."

وی در پاسخ به این سوال که چنانچه مشتری تمایلی به دسترسی دادن به بخش پیامک‌ها و سایر اطلاعات گوشی خود نداشته باشد آیا می‌‌تواند اپلیکیشن را نصب کرده و با آن کار کند، می‌گوید:" بله اتفاق خاصی رخ نمی‌دهد و تنها براي سهولت در پرداخت، این امکان برای مشتریان فراهم شده است."

به گفته رییس اداره بانکداری مدرن بانک اقتصاد نوین خود مشتریان هستند که اجازه دسترسی به پیامک‌ها را به اپلیکیشن‌ این بانک داده‌اند. اما باید این نکته را در نظر گرفت که بسیاری از کاربران نحوه استفاده صحیح از سیستم‌عامل تلفن همراهشان و تنظیمات امنیتی را نمی‌دانند و هنگام دانلود کردن اپلیکیشن‌‌های موبایلی با درخواست‌هایی که از آنها اجازه دسترسی به لیست مخاطبان یا تصاویر و پیامک‌ها را می‌خواهند مواجه شده و بدون آگاهی، برنامه‌ها را روی گوشی خود نصب می‌کنند. بسیاری از کاربران به دلیل نداشتن دانش کافی نمی‌دانند که این اپلیکیشن‌ها به حریم شخصی آنها دسترسی پیدا می‌کنند و ناآگاهانه این دسترسی را در اختیار اپلیکیشن‌ها قرار می‌دهند.

از طرف دیگر درست است که بسیاری از اپلیکیشن‌های بانکی اجازه دسترسی به پیامک را از مشتریان اخذ می‌کنند و در نگاه نخست این اپلیکیشن‌ها برای تسهیل امور آمده‌اند اما نباید از نظر دور داشت که مرز باریکی میان تسهیل امور و دسترسی خارج از عرف وجود دارد. مانند این است که به مامور گاز یا برق اجازه بدهید برای کنترل کنتور وارد حریم منزل شما شود اما آن مامور در ساختمان پرسه بزند و بگوید که ماشین شما روغن‌ریزی دارد و یا آسانسور نیاز به سرویس دارد. شاید مامور مربوطه قصد کمک داشته باشد اما به‌طور حتم این پیشروی برای صاحبخانه دلچسب نیست. در خصوص دسترسی‌های نامتعارف اپلیکیشن‌های بانکی نیز این ابهام برای مشتریان به وجود می‌آید که آیا سایر پیامک‌های گوشی آنها نیز رصد می‌شود؟ اگر یک بانک از اطلاعات تراکنش‌های بانکی مشتریان خود از طریق پیامک مطلع شده و از آنها در بازار رقابتی استفاده کند، تکلیف چیست؟ آیا به کل اکوسیستم بانکی ضربه وارد نمی‌شود؟

 

مسوولیت مغفول رگولاتور بانکی

بانک مرکزی به عنوان رگولاتور بانکی در این زمینه اما مسوولیت مهمی برعهده دارد. اینجا دیگر بحث بلبشوی هزاران اپلیکیشن رنگارنگ در میان نیست؛‌ صحبت از استانداردسازی تنها 30 اپلیکیشن بانکی است. این اپلیکیشن‌ها نه فقط به علت دسترسی داشتن به اطلاعات مردم بلکه به دلیل دسترسی‌های غیراستاندارد می‌توانند کاربران را به خطر بیندازند، چنانچه اگر روزی باگی در سیستم پیدا شود نباید به تمامی اطلاعات مشتریان دسترسی وجود داشته باشد.

موضوع مهم دیگر این است که هرچه میزان استفاده از یک اپلیکیشن خاص بیشتر شود آن اپلیکیشن تبدیل به سوژه هکرها می‌شود و چه بسا بیشتر مورد حمله قرار می‌گیرد و اگر شاهد حملات گسترده نیستیم شاید به این دلیل است که سوژه‌های باارزشی برای حمله وجود نداشته است.

این نکته را هم در نظر بگیریم که بسیاری از بانک‌ها به دلیل نگرانی‌هایی همچون تشویش اذهان عمومی و ترس از تنبیهات عمومی یا بی‌اعتمادی مشتریان اجازه درز خبر حمله یا هک به اپلیکیشن‌ها و سایت‌هایشان را نمی‌دهند. بنابراین بجاست رگولاتور بانکی ضوابط دسترسی اپلیکیشن‌ها برای حمایت از مشتریان را تدوین کند و حد و مرز دسترسی‌های قانونی اپلیکیشن‌ها را مشخص کند.

درج دیدگاه

عصــر بــازی