نائب رییس هیات مدیره انجمن افتا در حاشیه جلسه کمیسیون ICT اتاق بازرگانی USSD را روشی نا ایمن برای تبادلات بانکی ارزیابی کرده و ابراز داشت با کوچکترین تغییر در ساختار آن این سرویس دیگر روی گوشیهای موبایل کار نخواهد کرد.
به گزارش روابط عمومی فدراسیون ICT اتاق بازرگانی ایران، شاهین نورزی نائب رییس هیات مدیره انجمن افتا(انجمن تولیدکنندگان تجهیزات امنیت فضای تبادل اطلاعات) و کارشناس ارشد امنیت فناوری اطلاعات، در خصوص ussd و روشی که برای امن شدن تبادل بانکی با استفاده از این شیوه قرار است ایجاد شود ابراز داشت: USSD اساسا یک پروتکلی است که ما نمیتوانیم این پروتکل استاندارد را برهم بزنیم و هرکس به محض آنکه بخواهد کوچکترین تغییری در ساختار این پروتکل بدهد این سرویس دیگر روی گوشیها کار نمیکند، چرا که گوشیها یک پروتکل استاندارد را میشناسند؛ بنابراین تغییر در پروتکل USSD امکان پذیر نیست اما در بخش داده اطلاعاتی آن می توان تغییراتی را اعمال کرد.
این کارشناس ارشد امنیت فناوری اطلاعات همچنین با ذکر سایر مخاطرات استفاده از USSD در خصوص امکان رمزنگاری روی این پروتکل برای امنتر کردن آن ابراز داشت: از آنجا که در پروتکل ussd هیچ نوع رمزنگاری استانداردی وجود ندارد لذا با این شرایط این که در نظام بانکی کشور میگویند پروتکل USSD ناامن است کاملا صحیح است.
وی افزود: شما به عنوان یک شهروند اگر شماره بانکی، رمز دوم، ccv2 و تاریخ انقضای کارتتان را در USSD بزنید شک نکنید که اپراتور تمام این اطلاعات را دارد و میتواند یک کارمند در درون این اپراتور لاگ را ببیند و می تواند به جای شما یک تراکنش را اجرا کند. پس آنچه در نظام بانکی میگویند این موضوع نا امن است یک واقعیت است و پروتکل USSD در شرایط استفاده فعلی برای تبادلات بانکی نا امن است.
نائب رییس هیات مدیره انجمن افتا در خصوص اینکه آیا میشود راهکارهای امنی برای استفاده از USSD فراهم کرد نیز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می توان می توان ارائه کرد مئل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیر مستقیم از اطلاعات بانکی و روشهای دیگر اما انچه مسلم است این است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.
منبع: آی تی ایران