پروتکل USSD برای تبادلات بانکی ناامن است
نایب رییس هیات مدیره انجمن افتا در حاشیه جلسه کمیسیون ICT اتاق بازرگانی پروتکل USSD را روشی ناایمن برای تبادلات بانکی ارزیابی کرده و گفت: با کوچک ترین تغییر در ساختار آن این سرویس دیگر روی گوشی های موبایل کار نخواهد کرد.
شاهین نوروزی نایب رییس هیات مدیره انجمن افتا (انجمن تولیدکنندگان تجهیزات امنیت فضای تبادل اطلاعات) و کارشناس ارشد امنیت فناوری اطلاعات درباره USSD و روشی که برای امن شدن تبادل بانکی با استفاده از این شیوه قرار است ایجاد شود، ابراز داشت: USSD اساسا یک پروتکلی است که ما نمی توانیم این پروتکل استاندارد را برهم بزنیم و هرکس به محض آنکه بخواهد کوچک ترین تغییری در ساختار این پروتکل بدهد این سرویس دیگر روی گوشی ها کار نمی کند، چراکه گوشی ها یک پروتکل استاندارد را می شناسند؛ بنابراین تغییر در پروتکل USSD امکان پذیر نیست اما در بخش داده اطلاعاتی آن می توان تغییراتی را اعمال کرد.
این کارشناس امنیت فناوری اطلاعات همچنین با ذکر سایر مخاطرات استفاده از USSD درباره امکان رمزنگاری روی این پروتکل برای امن تر کردن آن گفت: از آنجا که در پروتکل USSD هیچ نوع رمزنگاری استانداردی وجود ندارد؛ لذا با این شرایط اینکه در نظام بانکی کشور می گویند پروتکل USSD ناامن است، کاملا صحیح است.
وی افزود: شما به عنوان یک شهروند اگر شماره بانکی، رمز دوم، ccv2 و تاریخ انقضای کارت تان را در USSD بزنید، شک نکنید که اپراتور تمام این اطلاعات را دارد و می تواند یک کارمند در درون این اپراتور لاگ را ببیند و می تواند به جای شما یک تراکنش را اجرا کند. پس آنچه در نظام بانکی می گویند این موضوع ناامن است یک واقعیت است و پروتکل USSD در شرایط استفاده فعلی برای تبادلات بانکی ناامن است.
نایب رییس هیات مدیره انجمن افتا درباره اینکه آیا می شود راهکارهای امنی برای استفاده از USSD فراهم کرد، نیز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می توان ارایه کرد مثل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیر مستقیم از اطلاعات بانکی و روش های دیگر. اما آنچه مسلم است این است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.