اخبار تکنولوژی

چرا پروتکل USSD نا امن است!

USSD Code

نائب رییس هیات مدیره انجمن افتا در حاشیه جلسه کمیسیون ICT اتاق بازرگانی USSD را روشی نا ایمن برای تبادلات بانکی ارزیابی کرده و ابراز داشت با کوچکترین تغییر در ساختار آن این سرویس دیگر روی گوشی‌های موبایل کار نخواهد کرد.

به گزارش روابط عمومی فدراسیون ICT اتاق بازرگانی ایران، شاهین نورزی نائب رییس هیات مدیره انجمن افتا(انجمن تولیدکنندگان تجهیزات امنیت فضای تبادل اطلاعات) و کارشناس ارشد امنیت فناوری اطلاعات، در خصوص ussd و روشی که برای امن شدن تبادل بانکی با استفاده از این شیوه قرار است ایجاد شود ابراز داشت: USSD اساسا یک پروتکلی است که ما نمی‌توانیم این پروتکل استاندارد را برهم بزنیم و هرکس به محض آنکه بخواهد کوچکترین تغییری در ساختار این پروتکل بدهد این سرویس دیگر روی گوشی‌ها کار نمی‌کند، چرا که گوشی‌ها یک پروتکل استاندارد را می‌شناسند؛ بنابراین تغییر در پروتکل USSD امکان پذیر نیست اما در بخش داده اطلاعاتی آن می توان تغییراتی را اعمال کرد.

این کارشناس ارشد امنیت فناوری اطلاعات همچنین با ذکر سایر مخاطرات استفاده از USSD در خصوص امکان رمزنگاری روی این پروتکل برای امن‌تر کردن آن ابراز داشت: از آنجا که  در پروتکل ussd هیچ نوع رمزنگاری استانداردی وجود ندارد لذا با این شرایط این که در نظام بانکی کشور می‌گویند پروتکل USSD ناامن است کاملا صحیح است.

وی افزود: شما به عنوان یک شهروند اگر شماره بانکی، رمز دوم، ccv2 و تاریخ انقضای کارتتان را در USSD بزنید شک نکنید که اپراتور تمام این اطلاعات را دارد و می‌تواند یک کارمند در درون این اپراتور لاگ را ببیند و می تواند به جای شما یک تراکنش را اجرا کند. پس آنچه در نظام بانکی می‌گویند این موضوع نا امن است یک واقعیت است و پروتکل‌ USSD در شرایط استفاده فعلی برای تبادلات بانکی نا امن است.

نائب رییس هیات مدیره انجمن افتا در خصوص اینکه آیا می‌شود راهکارهای امنی برای استفاده از USSD فراهم کرد نیز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می توان می توان ارائه کرد مئل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیر مستقیم از اطلاعات بانکی و روش‌های دیگر اما انچه مسلم است این است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.

منبع: آی تی ایران

بازگشت به لیست