مشکلات امنیتی استفاده از کدهای دستوری موبایل USSD؛ مصاحبه با مدیرعامل شرکت آشنا ایمن پیرامون بخشنامه جدید بانک مرکزی
مطابق با بخشنامه اخیر منتشر شده از سوی بانک مرکزی جمهوری اسلامی ایران بسیاری از عملیات ها و پرداختهای بانکی از طریق کدهای دستوری (USSD) به دلیل مشکلات امنیتی موجود در این بستر ممنوع میشود و این روش تنها برای پرداخت برخی از قبض های عمومی مورد تایید خواهد بود. کدهای دستوری موبایل یا همان USSD بستری برای ارسال کدهایی مانند *، # و چند عدد هستند که هر کاربر میتواند با ارسال آنها به اپراتورهایی که عضو شبکه آنها است فعالیتهایی مثل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام دهد. البته برخی از رسانه ها خبر از تعویق چهارماهه برای اجرای این بخشنامه به دلیل درخواست وزارت فناوری اطلاعات و ارتباطات را داده اند.
در ادامه، متن مصاحبه صورت گرفته از سوی پایگاه خبری بانکینا با آقای دکتر میلاد یداللهی، مدیرعامل محترم شرکت آشنا ایمن پیرامون مشکلات امنیتی بستر USSD و بخشنامه مذکور آورده شده است.
سؤال: بر اساس بخشنامه بانک مرکزی به دلیل مشکلات امنیتی استفاده از کدهای ussd محدود خواهد شد. سوال مردم این است که این کدها چه مشکلات امنیتی داشته اند و منظور از مشکلات امنیتی کدهای ussd چیست؟
پاسخ:
یکی از موضوعات اساسی و اولیه در بررسی بسته های حاوی پیام در یک شبکه ارتباطی، توجه به آسیب پذیری ها و فضای ریسکی بستر مورد استفاده برای انتقال پیام مذکور است، این مسئله بویژه زمانی که پیام های ما از نوع تراکنش های مالی و پرداخت میباشند اهمیت بیشتری پیدا می کند. متاسفانه بستر تراکنش های USSD که از مبدا یک گوشی موبایل تا سرورهای بانک در حال انتقال می باشند، دارای آسیب پذیری های متعددی است که به مهاجمین این امکان را می دهد تا به داده های محرمانه و حساس کاربران دسترسی پیدا نمایند و این موضوع دلیل اصلی نا امن خواندن این کانال و راهکار محسوب می شود. بستر مذکور به دلیل عدم استفاده از مکانیزم های کنترلی نظیر رمزنگاری داده های در حال ارسال بر روی شبکه و همچنین محدودیت های موجود در فناوری های مخابراتی مورد استفاده در شبکه تلفن همراه، امکان شنود اطلاعات بانکی شامل شماره کارت و رمز دوم را برای مهاجم فراهم می سازد. علاوه بر این، تا به حال مشکلات و آسیب پذیری های عدیده ای نیز در سرورهای واسط USSD شناسایی و کشف شده است که همین موضوع بر ریسک های امنیتی موجود در این کانال ارتباطی مورد استفاده برای پرداخت، میافزاید.
سؤال: آیا شما موافق این اقدام هستید؟ اگر نقدی به این بخشنامه دارید بفرمایید.
پاسخ:
با توجه به پاسخ سوال قبل و ریسک های بالای امنیتی ذکر شده برای USSD، به نظر می رسد استفاده از این راهکار برای سیستم پرداخت کارتی که حاوی اطلاعات محرمانه و بانکی مردم است از حیث امنیت اطلاعات به هیچ وجه صحیح نیست و از نظر بنده اینکه ارتباط سیستم پرداخت کارتی با USSD باید قطع شود حتما اقدام درستی می باشد که در قالب بخشنامه اخیر بانک مرکزی در دستور کار قرار گرفته است. اما نقد اصلی به این بخشنامه شامل خود بخشنامه نمی شود بلکه متوجه زمان انتشار و اقدام عملی از سوی مراجع قانون گذار و مجری در این حوزه است که به نظر، بسیار دیر و با تاخیر بوده است. نباید اجازه داد یک فناوری ضعیف و آسیب پذیر و البته جذاب از سوی کاربران، تا به این حد در میان مردم شناخته شده و رشد نماید که برای تغییر روی آن این هزینه بالای اجتماعی پرداخت شود. هزینه ای که برای افراد این سوال را پیش می آورد که اگر استفاده از USSD دارای امنیت کافی در مبحث پرداخت نیست، چرا از ابتدا جلوی آن گرفته نشد و یا محدود نگردید؟!
در مجموع با وجود تاخیر در صدور این بخشنامه، بنظرم این اقدام، اقدام صحیحی بوده و از بروز خسارات احتمالی زیادی ناشی از سرقت اطلاعات محرمانه کاربران جلوگیری خواهد نمود.
سؤال: پس ار حذف کدها مردم بهتر است از چه ابزارهایی استفاده کنند؟ ایا ابزارهای جایگزین ایمن هستند؟
پاسخ:
همان طور که در بررسی آماری تمایلات کاربری مردم در حوزه های مختلف فناوری مشاهده می شود، ابزارهای هوشمند همراه و به طور خاص استفاده از گوشی های موبایل درصد بالایی از تعاملات افراد در زمینه های مختلف و از جمله فعالیت های بانکی و پرداخت را به خود اختصاص می دهند. یکی از عوامل رشد و استقبال مردم از USSD هم شاید سهولت استفاده و مبتنی بودن آن بر گوشی های موبایل بوده است. با این فرض، معرفی و ارائه راهکارهای جایگزین نیز بهتر است با همین قالب و ویژگی های مشابه مطرح گردد تا بتوان اقبال عمومی را در خصوص آنها انتظار داشت.
استفاده از برنامه های موبایلی پرداخت که در حال حاضر بسیاری از فینتک ها بر روی آن متمرکزند، بهترین جایگزین برای USSD هستند. برنامه های موبایلی پرداخت به شرط رعایت اصول طراحی و توسعه امن اپلیکیشن های موبایل و بهره گیری از ابزارهای مناسب ایمن سازی (Hardening) در این حوزه می توانند علاوه بر ایجاد شرایطی کاربرپسند و آسان، نیازهای امنیتی را کاملا فراهم نمایند. به لحاظ تئوری، امنیت در نرم افزارهای موبایلی تا سطح قابل قبولی قابل تامین است، اما اینکه نرم افزارهای پرداخت موبایلی موجود چقدر الزامات امنیتی را رعایت نموده و ایمن پیاده سازی شده اند و این مبحث تا چه حد مورد توجه شرکت های فعال در حوزه پرداخت قرار گرفته، موضوعی است که حتما می تواند مورد بررسی دقیق قرار بگیرد و ریسکهای ناشی از آن شناسایی و مدیریت شود. شرکت آشنا ایمن با توجه به سابقه فعالیتهای تخصصی خود در حوزه امنیت اطلاعات و همچنین با در نظر گرفتن روندهای جهانی در چند سال اخیر، توجه ویژه ای به این موضوع داشته و مقالات متعددی نیز در وبلاگ تخصصی ما در این رابطه منتشر شده است. همچنین تیم تحقیق و توسعه ما بعد از سالها تلاش مستمر، ابزارهای خوبی را برای افزایش امنیت برنامه های موبایلی توسعه داده که برنامه آزمونگر یا همان MSST یکی از آنهاست که به توسعه دهندگان و صاحبان کسب و کار کمک می کند تا آسیب پذیریهای برنامه های خود را شناسایی کرده و آنها را رفع نمایند.