زشت و زیبای USSD / بررسی کدهای دستوری که در این هفته‌ها جنجال به راه انداخته است

وبلاگ آیدی پی / پرداخت‌های موبایلی و خدمات مالی یکی از داغ‌ترین برنامه‌های کاربردی تلفن همراه هستند مانند اس‌ام‌اس، داده‌های سرویس اضافی بدون ساختار (USSD) و ارتباطات مبتنی بر IP که آسیب‌پذیری های امنیتی دارند. این امر به طور فزاینده‌ای موجب نگرانی شدید امنیتی در میان بانک‌ها، شرکت‌های مخابراتی و ارائه‌دهندگان خدمات و مصرف‌کنندگان شده است.

تهدیدات بحرانی مانند معاملات جعلی، دستکاری درخواست پاسخ و ارتباطات ناامن پیام، مستقیماً سبب کاهش درآمد برای ارائه‌دهندگان خدمات پرداخت تلفن همراه و ضرر و زیان مصرف‌کنندگان می‌شود. افشای اطلاعات حساس به دلیل اجرای ضعیف رمزنگاری، مدیریت حساب نامناسب و تغییر اطلاعات مهم ممکن است موجب نقض امنیت و از دست رفتن اطلاعات حساس در برنامه‌های پرداخت تلفن همراه مبتنی بر USSD شود.

کارشناسان معتقدند که نقض امنیتی، ناشی از افزایش رو به رشد استفاده از تلفن همراه خواهد بود. راه‌اندازی محصولات ایمن، قابل اعتماد و قوی یک کار چالش برانگیز است، زیرا کانال‌های متعددی در ارائه هر سرویس وجود دارد. کنترل‌های امنیتی مناسب باید یک بخش ذاتی از تلفن‌های همراه و برنامه‌های تلفن همراه باشد تا از تأثیرات عمده کسب‌وکار از جمله موارد زیر رها شود:

• معاملات جعلی (از دست دادن درآمد) از طریق برنامه‌های موبایل
• محرمانه بودن (داده‌های حساس کاربران – اطلاعات کارت اعتباری / بدهی، پین، اعتبار کاربری)
• از دست دادن درآمد از طریق سوءاستفاده
• تخریب ارزش نام تجاری از طریق کلونینگ سیم کارت و حملات مربوطه
• سوءاستفاده از داده‌های سازمانی از طریق دستگاه‌های دستی و شخصی
• معاملات جعلی از طریق USSD و DSTK (بسته نرم‌افزاری Dynamic SIM Toolkit)

اهمیت، مزایا و معایب برنامه‌های USSD

پروتکل ارتباطات USSD به طور گسترده‌ای برای ارائه خدمات مخابراتی تلفن همراه، خدمات مبتنی بر مکان، خدمات نقشه‌برداری، خدمات شارژ، رزرو و پرداخت‌های خرد از طریق تلفن همراه و خدمات بانکی استفاده می‌شود. استفاده از USSD بیشتر از کانال ارتباطات SMS ترجیح داده می‌شود. در USSD، برقراری ارتباط مستقیم بین فرستنده و گیرنده ایجاد شده است که باعث سرعت انتقال داده می‌شود. ارتباطات USSD متن گرا است و به راحتی پیاده‌سازی می‌شود و از این حیث کاربر پسندتر است. نرم‌افزار USSD به عنوان رابط بین ارائه‌دهنده مخابرات، مشتری و حساب بانکی متصل او محسوب می‌شود. مشتری می‌تواند از طریق دستگاه‌های دستی و همچنین در برنامه‌های مبتنی بر وب USSD ( در حالت IP)  خدمات را انجام دهد.

تهدیدهای موجود در USSD

• USSD Commands Request ‌/ Response Tampering – یک کاربر مخرب است که می‌تواند با درخواست‌های فرمان USSD و پاسخ‌ها از طریق گیرنده‌های سخت‌افزاری و نرم‌افزاری منجر به معاملات جعلی شود و آن را دستکاری کند. پیام‌های درخواستی و پاسخ رمزنگاری ضعیف، نگرانی‌های اصلی در چنین موارد تهدیدآمیزی هستند.
• USSD Request ‌/ Reply Message Replay Attacks – هنگامی‌که تلفن خراب شده است، یک هکر ممکن است از طریق یک برنامه USSD نصب شده (در صورت عدم تأیید اسناد درخواست USSD) و از طریق MSISDN، IMEI، PIN و شناسه پیگیری منحصر به فرد، اقدامات هک را انجام دهد.
• USSD Application Prepaid Roaming Access Test – یک هکر می‌تواند با استفاده از دستکاری پارامترهای دسترسی به رومینگ و دسترسی غیرمجاز به خدمات رومینگ پیش‌پرداخت شده توسط USSD، باعث ایجاد تلفات مستقیم برای ارائه‌دهندگان خدمات شود.
• پیاده‌سازی رمزنگاری – پیاده‌سازی رمزنگاری ضعیف برای داده‌های حیاتی (شماره مشتری، شماره کارت، پین، جزئیات ذینفع – شماره حساب‌ها) را می‌توان با جابجایی، منجر به معاملات جعلی کرد.
• تأیید اعتبار نامناسب (USSD Applications IP Mode) – اعتبار سنجی نامناسب داده‌ها در حالت USSD IP می‌تواند منجر به حملات اسکریپت Cross Site شود. یک هکر ممکن است به طور هدفمند اسکریپت‌های خاصی را در ورودی کاربر وارد کند و ممکن است سعی در استفاده از آن برای انجام اقدامات مخرب در پایگاه داده یا حساب فعال کاربر دیگری داشته باشد.

مزایای برنامه‌های USSD

• آن‌ها یک منوی کاربرپسند دارند و از این رو ساده‌تر هستند. از کاربر خواسته می‌شود تا به یک سری از منوها پاسخ دهد.
• ممکن است ویژگی‌های گوشی‌های و تلفن‌های هوشمند را مد نظر قرار دهد. در واقع همه گوشی‌ها ساپورت شده و کنترل آنها توسط شبکه GSM است.
• پاسخگویی در USSD خودکار است و کاربر تنها کاری که باید بکند درخواست بدهد و منتظر بماند.
• برنامه‌های کاربردی USSD اجازه استفاده از رومینگ را می‌دهند. همچنین برنامه‌های USSD در حالی که کاربر دور از شبکه خانگی باشد و دسترسی به اینترنت نداشته باشد هنوز هم می‌تواند کار کند.
• از آنجا که این منو مختص گوشی یا سیم کارت نیست، به‌روزرسانی منو آسان‌تر است. همچنین ارائه‌دهنده خدمات نیاز به به‌روزرسانی منو از وب سرور دارد که خود آن نیز دارای منو است.

معایب برنامه‌های USSD

• پاسخگویی آنها زمان‌بر هستند و می‌توانند زمان کاربر را هدر دهند.
• کدهای USSD به عنوان کدهای کوتاه به‌یادماندنی نیستند. با این حال، با USSD جهانی، اعداد طولانی می‌توانند در گوشی ذخیره شوند که برای از بین بردن حفظ کردن یک کد USSD ارائه می‌شود.
• پیام‌های منوهای USSD را نمی‌توان در تلفن ذخیره کرد و به همین دلیل است که USSD با SMS کار می‌کند.
• زیبایی‌شناسی و شمای گرافیکی USSD ضعیف است. منوها توسط شبکه ارسال می‌شود و رابط کاربری آن نمی‌تواند تغییر یابد. به عنوان مثال در گوشی‌های دارای صفحه نمایش غیر رنگی، ظاهر آن خیلی ضعیف است.

نگاهی به صنعت USSD

لازم به ذکر است زمانی که یک کد USSD انتخاب می‌شود، در سراسر شبکه‌های تلفن همراه شرکت‌های مختلف کار خواهد کرد. برای مثال در کنیا اگر یک برنامه دوست‌یابی برای استفاده از یک سرویس USSD 123 برای استفاده از سرویس‌های تلفن همراه برای دریافت راهنمایی‌های دوست‌یابی استفاده کند، باید کد خود را برای تمام TELECOMS Safaricom، Airtel و Orange استفاده کند. این بدان معنی است که این کد را نمی‌توان برای سرویس دیگری استفاده کرد. این موضوع البته توسط شرکت‌های آینده که USSD جهانی را ارائه می‌دهند، حل می‌شود.

امروزه راهکارهای بسیار هوشمندانه‌تری برای پرداخت آنلاین و مدیریت مالی پرداخت‌ها وجود دارد. آیدی پی یکی از این راهکارهای مبتنی بر وب است. شما به عنوان یک پذیرنده می‌توانید به صورت رایگان از خدمات آیدی پی استفاده کنید.