چرا پروتکل USSD نا امن است؟

USSD روشی ناایمن برای تبادلات بانکی است که با کوچک‌ترین تغییر در ساختار آن دیگر روی گوشی‌های موبایل کار نخواهد کرد.

نایب‌رئیس هیات‌مدیره انجمن افتا در حاشیه جلسه کمیسیون ICT اتاق بازرگانی USSD را روشی ناایمن برای تبادلات بانکی ارزیابی کرده و ابراز کرد با کوچک‌ترین تغییر در ساختار آن این سرویس دیگر روی گوشی‌های موبایل کار نخواهد کرد.

به گزارش روابط عمومی فدراسیون ICT اتاق بازرگانی ایران، شاهین نورزی نایب‌رئیس هیات مدیره انجمن افتا(انجمن تولیدکنندگان تجهیزات امنیت فضای تبادل اطلاعات) در خصوص ussd و روشی که برای امن شدن تبادل بانکی با استفاده از این شیوه قرار است ایجاد شود، اعلام کرد: USSD اساسا یک پروتکلی است که ما نمی‌توانیم این پروتکل استاندارد را برهم بزنیم و هرکس به محض آنکه بخواهد کوچک‌ترین تغییری در ساختار این پروتکل بدهد این سرویس دیگر روی گوشی‌ها کار نمی‌کند، چرا که گوشی‌ها یک پروتکل استاندارد را می‌شناسند؛ بنابراین تغییر در پروتکل USSD امکان‌پذیر نیست، اما در بخش داده اطلاعاتی آن می‌توان تغییراتی را اعمال کرد.

(ادامه مطلب را بخوانید...) 

این کارشناس ارشد امنیت فناوری اطلاعات همچنین با ذکر سایر مخاطرات استفاده از USSD در خصوص امکان رمزنگاری روی این پروتکل برای امن‌تر کردن آن ابراز کرد: از آنجا که در پروتکل USSD هیچ نوع رمزنگاری استانداردی وجود ندارد بنابراین با این شرایط این که در نظام بانکی کشور می‌گویند پروتکل USSD ناامن است کاملا صحیح است. وی افزود: شما به‌عنوان یک شهروند اگر شماره بانکی، رمز دوم، ccv۲ و تاریخ انقضای کارتتان را در USSD بزنید شک نکنید که اپراتور تمام این اطلاعات را دارد و می‌تواند یک کارمند در درون این اپراتور لاگ را ببیند و می‌تواند به جای شما یک تراکنش را اجرا کند. پس آنچه در نظام بانکی می‌گویند این موضوع نا امن است یک واقعیت است و پروتکل‌ USSD در شرایط استفاده فعلی برای تبادلات بانکی نا امن است.

نایب‌رئیس هیات‌مدیره انجمن افتا در خصوص اینکه آیا می‌شود راهکارهای امنی برای استفاده از USSD فراهم کرد نیز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می‌توان ارائه کرد مثل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیرمستقیم از اطلاعات بانکی و روش‌های دیگر اما آنچه مسلم است این است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.