تکنولوژی

چرا پروتکل USSD نا امن است؟

نائب رييس هيات مديره انجمن افتا در حاشيه جلسه كميسيون ICT اتاق بازرگاني USSD را روشي نا ايمن براي تبادلات بانكي ارزيابي كرده و ابراز داشت با كوچكترين تغيير در ساختار آن اين سرويس ديگر روي گوشي‌هاي موبايل كار نخواهد كرد.

به گزارش روابط عمومي فدراسيون ICT اتاق بازرگاني ايران، شاهين نورزي نائب رييس هيات مديره انجمن افتا(انجمن توليدكنندگان تجهيزات امنيت فضاي تبادل اطلاعات) و كارشناس ارشد امنيت فناوري اطلاعات، در خصوص ussd و روشي كه براي امن شدن تبادل بانكي با استفاده از اين شيوه قرار است ايجاد شود ابراز داشت: USSD اساسا يك پروتكلي است كه ما نمي‌توانيم اين پروتكل استاندارد را برهم بزنيم و هركس به محض آنكه بخواهد كوچكترين تغييري در ساختار اين پروتكل بدهد اين سرويس ديگر روي گوشي‌ها كار نمي‌كند، چرا كه گوشي‌ها يك پروتكل استاندارد را مي‌شناسند؛ بنابراين تغيير در پروتكل USSD امكان پذير نيست اما در بخش داده اطلاعاتی آن می توان تغییراتی را اعمال کرد.

اين كارشناس ارشد امنيت فناوري اطلاعات همچنين با ذكر ساير مخاطرات استفاده از USSD در خصوص امكان رمزنگاري روي اين پروتكل براي امن‌تر كردن آن ابراز داشت: از آنجا که  در پروتكل ussd هيچ نوع رمزنگاري استانداردي وجود ندارد لذا با اين شرايط اين كه در نظام بانكي كشور مي‌گويند پروتكل USSD ناامن است كاملا صحيح است. 

وي افزود: شما به عنوان يك شهروند اگر شماره بانكي، رمز دوم، ccv2 و تاريخ انقضاي كارتتان را در USSD بزنيد شك نكنيد كه اپراتور تمام اين اطلاعات را دارد و مي‌تواند يك كارمند در درون اين اپراتور لاگ را ببيند و می تواند به جاي شما يك تراكنش را اجرا كند. پس آنچه در نظام بانكي مي‌گويند اين موضوع نا امن است يك واقعيت است و پروتكل‌ USSD در شرایط استفاده فعلی براي تبادلات بانكي نا امن است.

نائب رييس هيات مديره انجمن افتا در خصوص اينكه آيا مي‌شود راهكارهاي امني براي استفاده از USSD فراهم كرد نيز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می توان می توان ارائه کرد مئل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیر مستقیم از اطلاعات بانکی و روش‌هاي ديگر اما انچه مسلم است اين است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.

 

منبع : روابط عمومی اتاق بازرگانی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.