راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

اتاق خبر

امنيت پاشنه آشيل اپليکيشن‌های بانکداری همراه

نویسنده: راه پرداخت 0

در دنيای امروزی، استفاده از اپليکيشن‌های بانکداری همراه روز به روز در حال گسترش است. در سيستم‌های بانکداری موسوم به بدون شعبه (branchless) از اپليکيشن‌های موبايلی استفاده می‌شود و اين امر انقلابی در حوزه بانکداری کشورهای در حال توسعه به وجود آورده است.

شهروندان فقير يا کم‌درآمد اين کشورها معمولاً در دسترسی به سيستم‌های بانکداری سنتی با مشکلات مزمنی روبه‌‍رو هستند، در حالی که با اين برنامه‌های همراه، کاربران به راحتی می‌توانند عمليات بانکی از قبيل انتقال پول به حساب ديگران، پرداخت قبوض، گرفتن مانده حساب و خريد اعتباری را در زمانی کوتاه صورت دهند. با همه اين تفاصيل، برنامه‌های بانکداری موبايلی دارای يک ضعف بزرگ هستند: «امنيت ناپايدار».

پژوهش‌های اخير نشان می‌دهد که اين برنامه‌ها معمولاً از کدنويسی ضعيفی برخوردار بوده و دارای باگ‌ها و نواقص امنيتی هستند. به نقل از پايگاه CSO Online، محققان دانشگاه فلوريدا به بررسی ده‌ها برنامه مورد استفاده در بانکداری همراه پرداختند و در نهايت هفت برنامه را که در کشورهای برزيل، هند، اندونزی، تايلند و فيلپين استفاده می‌شد، مورد تجزيه و تحليل قرار دادند.

بررسی‌ها نشان می‌دهد که در اپ‌های موبايلی زمينه برای طراحی و اجرای حملات گسترده هکرها فراهم است و اين امر به خاطر مشکلاتی از قبيل وجود باگ‌های امنيتی SSL/TLS، رمزگذاری‌های ضعيف، قابليت افشای اطلاعات و فراهم بودن زمينه‌های دستکاری تراکنش‌ها و سوابق مالی است. به عنوان مثال Oxigen Wallet نام اپليکيشنی هندی است که در برابر حملات استراق سمع مرد ميانی (MITM) آسيب‌پذير است.

احراز هويت ضعيف و رمزنگاری ناکارآمد باعث می‌شود که هکرها در برخی شرايط بتوانند به حساب‌های Oxigen رخنه کرده و تراکنش‌های غيرمجاز انجام دهند. خدمات GCash نيز که در فيليپين کاربرد دارد، به هنگام برقراری ارتباط با يک سرور راه دور، از يک کليد ثابت رمزنگاری استفاده می‌کند. اين کليد پيش از ارسال اطلاعات، PIN و شماره شناسايی جلسه کاربر را رمزنگاری می‌کند. در اين تحقيق آمده است که اگر يک هکر داده‌های رمزنگاری شده را در اختيار داشته باشد، با در دست داشتن اين کليد می‌تواند PIN و شماره شناسایی جلسه کاربر را رمزگشایی کرده و در بستر جعل هويت، کلاهبرداری نمايد.

اين پژوهشگران در برنامه‌های ديگری همچون Airtel Money و MoneyOnMobile (مورد استفاده در هند)، Mpay (مورد استفاده کاربران تايلندی)، Zuum (مورد استفاده توسط شهروندان برزيلی)، mCoin (ويژه کاربران اندونزی) نيز نواقص امنيتی يافته‌اند.

محققان دانشگاه فلوريدا گفتند پيش از فرا رسيدن زمان نهايی انتشار اين مقاله پژوهشی، دست‌اندرکاران تمام اين سرويس‌ها را از وجود اين آسيب‌پذيری‌ها مطلع کرده‌اند ولی اکثر آن‌ها هيچ پاسخی به ايشان نداده‌اند.

نتايج اين پژوهش در انجمن USENIX Security Symposium که چندی پيش در واشنگتن برگزار شد، عرضه گشته است.

منبع: شرکت ملی انفورماتیک

راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.