همه دردسرهای "کدهای ناامن USSD" زیر ذره‌بین کارشناسان

وزیر ارتباطات از توافق بر سر نصب اپلت بر سیم‌کارت‌های تلفن‌همراه برای حل دغدغه امنیت کدهای دستوری خبر داده‌است. فارغ از اینکه توافقی بر سر این کار به عمل آمده یا آقای وزیر آینده را پیش‌بینی کرده‌است، سوال اصلی عملیاتی بودن چنین راهکاری و تاثیر آن بر رفع ناامنی یو‌اس‌اس‌دی است.

همه دردسرهای "کدهای ناامن USSD" زیر ذره‌بین کارشناسان

به تازگی وزیر ارتباطات از توافق بر سر نصب اپلت بر سیم‌کارت‌های تلفن‌همراه برای حل دغدغه امنیت کدهای دستوری خبر داده‌است. فارغ از اینکه توافقی بر سر این کار به عمل آمده یا آقای وزیر آینده را پیش‌بینی کرده‌است، سوالات اصلی عملیاتی بودن چنین راهکاری و تاثیر آن بر رفع ناامنی یو‌اس‌اس‌دی است.

به گزارش عصر ارتباط به نقل از بانکداری ایرانی، شاهین نوروزی کارشناس و فعال حوزه امنیت سایبری در این زمینه گفت"  "در پروتکل یو‌اس‌اس‌دی هیچ نوع رمزنگاری بر روی اطلاعات انجام نمی‌شود، به همین خاطر هم بستر به شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصا اطلاعات بانکی است. 

وی همچنین دغدغه بانک‌مرکزی درباره امنیت این بستر برای تراکنش‌های بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است "کاملا درست و بجا می‌داند چون بسته‌های اطلاعاتی که تحت این پروتکل رد و بدل می‌شوند فاقد رمزگذاری هستند بنابراین شنود آن‌ها برای تمام عناصری که در مسیر انتقال این بسته‌ها قرار دارند میسر است و می‌توانند محتوای آن‌ها را ببینند”.

به اعتقاد نوروزی "این رویه ریسک استفاده از کدهای دستوری را به شدت بالا برده و به همین خاطر هم بانک‌مرکزی به دنبال محدود کردن این سرویس است”.

او به عنوان کارشناسان حوزه امنیت سایبری به مردم توصیه می‌کند "به هیچ‌وجه از این بستر برای انجام تراکنش‌های بانکی استفاده نکنند”.

سترسی اپراتورها به اطلاعات بانکی کاربران

مدیرعامل شرکت پندار کوشک ایمن نیز در این باره گفت: "در واقع اپراتورها، شرکت‌های پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیار دارند، به این بسته‌های اطلاعاتی دسترسی دارند. به عبارت روشن‌تر وقتی هر کدام از ما تراکنشی با کدهای دستوری انجام می‌دهیم، شماره کارت، رمز دوم، تاریخ انقضا و… کارت و حساب بانکی ما در معرض دید افراد مختلفی قرار می‌گیرد و طبیعتا احتمال سوءاستفاده از این اطلاعات هم مطرح خواهدبود”.

این فعال حوزه امنیت سایبری تاکید‌ کرد: "اگرچه شاپرک و بانک‌مرکزی به عنوان متولیان حوزه پرداخت کشور، نظارت سختگیرانه‌ای بر بانک‌ها و شرکت‌های پرداخت الکترونیک دارند تا احتمال سوءاستفاده‌های احتمالی را به حداقل برسانند ولی باز هم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمی‌رود به خصوص اینکه متأسفانه طی یک دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکت‌هایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ می‌کنند و از آنجایی که نه بانک هستند و نه شرکت پرداخت، از حیطه نظارت بانک‌مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آن‌ها ندارند”.

مدیرعامل پندار کوشک در پاسخ به این سوال که  آیا روش‌هایی وجود دارد که پروتکل یو‌اس‌اس‌دی را امن کرد، گفت:”واقعیت این است که ذات پروتکل یو‌اس‌اس‌دی به گونه‌ای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرم‌افزارهایی (اپلت) بر روی سیمکارت تلفن‌همراه، اطلاعات را رمزگذاری کرد. با این حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن‌همراه است در کدام نقطه رمزگشایی خواهدشد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی بشود در واقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده‌ و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر همچنان باقی خواهدماند. از آنجایی که برای دستبرد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به این ترتیب ارزش افزوده‌ای برای امنیت اطلاعات بوجود نیاورده‌ایم و مسئله شنود اطلاعات در هر نقطه‌ای به ویژه شرکت‌های واسطه اطلاعات به قوت خود باقیست”.

به گفته‌ی نوروزی راه دوم این است که "بسته اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک‌مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمه این کار این است که ارائه‌دهنده سرویس‌های بانکی با تغییراتی در نرم‌افزارهای خود، اطلاعات رمزگذاری شده را باز کنند. با این حال یک چیز مسلم است؛ در هر دو روش، اگر کسی همچنان اصرار دارد از کدهای دستوری استفاده کند باید سیم‌کارت خود را عوض کند یا برای نصب "اپلت” روی سیم‌کارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعا پرهزینه، پرزحمت و شاید هم نشدنی باشد”.

به اعتقاد وی "منطق حکم می‌کند به جای استفاده از پروتکلی که ذاتا ناامن است و برای گوشی‌های نسل گذشته طراحی و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فناوری‌های جدید مانند اپلیکیشن‌های پرداخت سوق دهیم”.