راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

امنیت پاشنه آشیل اپلیکیشن‌های بانکداری همراه

در دنیای امروزی، استفاده از اپلیکیشن‌های بانکداری همراه روز به روز در حال گسترش است. در سیستم‌های بانکداری موسوم به بدون شعبه (branchless) از اپلیکیشن‌های موبایلی استفاده می‌شود و این امر انقلابی در حوزه بانکداری کشورهای در حال توسعه به وجود آورده است.

شهروندان فقیر یا کم‌درآمد این کشورها معمولاً در دسترسی به سیستم‌های بانکداری سنتی با مشکلات مزمنی روبه‌‍رو هستند، در حالی که با این برنامه‌های همراه، کاربران به راحتی می‌توانند عملیات بانکی از قبیل انتقال پول به حساب دیگران، پرداخت قبوض، گرفتن مانده حساب و خرید اعتباری را در زمانی کوتاه صورت دهند. با همه این تفاصیل، برنامه‌های بانکداری موبایلی دارای یک ضعف بزرگ هستند: «امنیت ناپایدار».

پژوهش‌های اخیر نشان می‌دهد که این برنامه‌ها معمولاً از کدنویسی ضعیفی برخوردار بوده و دارای باگ‌ها و نواقص امنیتی هستند. به نقل از پایگاه CSO Online، محققان دانشگاه فلوریدا به بررسی ده‌ها برنامه مورد استفاده در بانکداری همراه پرداختند و در نهایت هفت برنامه را که در کشورهای برزیل، هند، اندونزی، تایلند و فیلپین استفاده می‌شد، مورد تجزیه و تحلیل قرار دادند.

بررسی‌ها نشان می‌دهد که در اپ‌های موبایلی زمینه برای طراحی و اجرای حملات گسترده هکرها فراهم است و این امر به خاطر مشکلاتی از قبیل وجود باگ‌های امنیتی SSL/TLS، رمزگذاری‌های ضعیف، قابلیت افشای اطلاعات و فراهم بودن زمینه‌های دستکاری تراکنش‌ها و سوابق مالی است. به عنوان مثال Oxigen Wallet نام اپلیکیشنی هندی است که در برابر حملات استراق سمع مرد میانی (MITM) آسیب‌پذیر است.

احراز هویت ضعیف و رمزنگاری ناکارآمد باعث می‌شود که هکرها در برخی شرایط بتوانند به حساب‌های Oxigen رخنه کرده و تراکنش‌های غیرمجاز انجام دهند. خدمات GCash نیز که در فیلیپین کاربرد دارد، به هنگام برقراری ارتباط با یک سرور راه دور، از یک کلید ثابت رمزنگاری استفاده می‌کند. این کلید پیش از ارسال اطلاعات، PIN و شماره شناسایی جلسه کاربر را رمزنگاری می‌کند. در این تحقیق آمده است که اگر یک هکر داده‌های رمزنگاری شده را در اختیار داشته باشد، با در دست داشتن این کلید می‌تواند PIN و شماره شناسایی جلسه کاربر را رمزگشایی کرده و در بستر جعل هویت، کلاهبرداری نماید.

این پژوهشگران در برنامه‌های دیگری همچون Airtel Money و MoneyOnMobile (مورد استفاده در هند)، Mpay (مورد استفاده کاربران تایلندی)، Zuum (مورد استفاده توسط شهروندان برزیلی)، mCoin (ویژه کاربران اندونزی) نیز نواقص امنیتی یافته‌اند.

محققان دانشگاه فلوریدا گفتند پیش از فرا رسیدن زمان نهایی انتشار این مقاله پژوهشی، دست‌اندرکاران تمام این سرویس‌ها را از وجود این آسیب‌پذیری‌ها مطلع کرده‌اند ولی اکثر آن‌ها هیچ پاسخی به ایشان نداده‌اند.

نتایج این پژوهش در انجمن USENIX Security Symposium که چندی پیش در واشنگتن برگزار شد، عرضه گشته است.

منبع: شرکت ملی انفورماتیک

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.