منبع اصلی نوشتار زیر در این لینک قرار دارد

احتمال سرقت اطلاعات کارت و رمز عبور هزاران کاربر ایرانی توسط کافه بازار

23

فوریه

خب عنوان به اندازه‌ی کافی گویا هست ، قبل از اینکه بخوام توضیح بیشتری در این مورد بدم یه مقدار توضیح در مورد پرداخت های آنلاین بانکی توی ایران میدم :

در حال حاضر تمام پرداخت های اینترنتی باید از طریق شاپرک انجام بشه و درگاه پرداخت تمام بانک ها باید روی زیردامنه‌ ای از shaparak.ir باشه مثلا :

bpm.shaparak.ir برای درگاه پرداخت بانک ملت و sep.shaparak.ir برای بانک سامان.

ابتدای آدرس همیشه باید به شکل https باشه و گواهینامه‌ی ssl هم در حال حاضر توسط:

TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Kasım تایید شده .

توضیحات بیشتر در مورد امنیت پرداخت رو میتونید توی این صفحه روی سایت خود شاپرک بخونید.

توی موبایل هم قضیه دقیقا از همین قرار باید باشه ، یعنی اگر نیاز باشه شما مبلغی رو آنلاین پرداخت کنید، باید با استفاده از اپلیکیشن موبایل ، درگاه پرداخت توی مرورگر خود موبایل باز بشه و کاربر بتونه مورادی که گفتم رو تایید کنه و بعد از انجام پرداخت ،  مجددا به اپلیکیشن موبایل هدایت بشید و ادامه‌ی خریدتون انجام بشه. این روند هرگز نباید تغییری بکنه در هر روند دیگری غیر از این روند احتمال سرقت اطلاعات کارت کاربر وجود داره.

خب برگردیم به اپلیکیشن کافه بازار ، توی این اپلیکیشن چه اتفاقی داره میافته؟ فرض کنید بخوایم یک نرم افزار رو توی بازار خریداری کنیم یا به اعتبار خودمون مبلغی رو اضافه کنیم . صفحه ای که پیش روی ما قرار میگیره به این شکل هست :

بانک سامان :

samanبانک ملت :
mellat

همونطوری که میبینید صفحه‌ی پرداخت به طور مستقیم توی اپلیکیشن بازار باز شده و کاربر نمیتونه آدرس بانک و گواهینامه SSL رو ببینه و تایید کنه . توی این حالت چند تا سناریو محتمل هست :

  1. اولین حالت این هست که گواهینامه درسته آدرس هم درسته و پرداخت به شکل امن انجام میشه این حالتی هست که هم من دوست دارم هم شما
  2. حالت دوم حالتی هست که یک خدمت دهنده‌ی اینترنت (ISP) میتونه صفحه‌ی پرداخت بانک رو شبیه سازی کنه یعنی صفحه ای که شما میبینید و اطلاعاتتون رو توش میزنید واقعا صفحه‌ی بانک نباشه . دقت کنید که برای اینکار همیشه نیاز نیست که یک ISP واقعی پشت قضیه باشه ممکنه حتی رییس شرکتتون باشه یا همسایه ای که ازش اینترنت رو میگیرید. نتیجه اینکه چون شما نمیتونید صحت گواهینامه‌ی ssl رو بررسی و تایید کنید (به دلیل اینکه صفحه توی مرورگر گوشی باز نشده) پس اطلاعاتتون رو دارید به شخص واسطی تقدیم میکنید. اون شخص واسط میتونه برای اینکه به راحتی شناخته نشه بعد از اینکه تمام اطلاعات کارت شما از جمله رمز دوم و cvv2 رو ذخیره کرد واقعا عملیات پرداخت رو پشت پرده انجام بده و نتیجه‌ی صحیح رو برگردونه و مثلا یک ماه یا یک سال بعد از کارت شما سو استفاده کنه . توی این قضیه نه شما متوجه سرقت اطلاعات میشید نه اپلیکیشن موبایل.
  3. حالت آخر و خطرناک ترین حالت حالتی هست که خود اپلیکیشن کافه بازار به شما یک صفحه‌ی تقلبی از بانک نشون بده ، شما متوجه این موضوع نمیشید چون توی مرورگر گوشیتون باز نشده ، اطلاعاتتون رو وارد میکنید ، برنامه اطلاعات رو به سرور مرکزی کافه بازار میفرسته ، اطلاعات اونجا ذخیر میشن و روی سرور به شکل ماشینی عملیات پرداخت با درگاه واقعی و با اطلاعات شما انجام میشه و نتیجه به اپلیکیشن برمیگرده. توی این حالت بازار میتونه به راحتی تمام اطلاعات مربوط به کارت های تمام کاربرانی رو که حداقل یک بار ازش خرید کردن یا به اعتبارشون اضافه کردن رو ذخیره کنه و هر زمان که خواست هرکاری خواست باهاشون بکنه.

همونطور که دیدید حالات دوم و سوم بالقوه یک مشکل امنیتی بسیار مهم به حساب میاد، به چند تا نکته باید این وسط اشاره کرد :

  • یک کاربر معمولی باید روش های صحیح پرداخت آنلاین توی کشورش رو بدونه و به یک اپلیکیشن موبایل صرفا با خاطر نامش اطمینان نکنه
  • همه‌ی ما امیدوار هستیم که دست اندرکاران این اپلیکیشن آدم های شریفی باشند و از این کارهای بد نکنند
  • شما هرگز نمیتونید بفهمید یک نرم افزار غیرآزاد دقیقا داره چیکار میکنه . اگر بازار به شکل آزاد منتشر شده بود و خود شما میتونستید فایل apk رو از روی کد منبع بسازید میتونستید مطمئن بشید که خود اپلیکیشن اطلاعات تون رو سرقت نمیکنه ولی سناریوی دوم همچنان به قوت خودش باقی بود. این قضیه درمورد تمامی نرم افزارهای غیر آزاد صدق میکنه و برای همین هست که کاربران باید تا جای ممکن از هیچ نرم افزار غیرآزادی استفاده نکنن
  • اون به راحتی که اون بالا ‌Bold کردم واقعا همون معنی رو میده . یعنی هرکسی با یه دانش متوسط توی اندروید و داشتن سورس برنامه میتونه ظرف کمتر از ۱۰ ساعت کاری برنامه رو به شکل سناریوی خطرناک شماره‌ی ۳ در بیاره از جمله خود من
  • بانک مرکزی و شاپرک هیچ گونه نظارتی روی این قضایا ندارن ، همونطور که میدونید اپلیکیشن بازار یک اپلیکیشن محبوب توی ایران هست و کاربران خیلی زیادی هم داره اینکه چرا هیچ هشداری در این مورد داده نشده با توجه به اینکه حداقل یکی دو سال هست که این اپلیکیشن داره به همین شکل کار میکنه جای بحث خیلی خیلی زیادی داره.

نتیجه‌ی کلی ای هم که میشه از این متن گرفت اینه که در حال حاضر خرید از طریق اپلیکیشن موبایل کافه بازار فرق خاصی با اینکه مشخصات و رمز کارتتون رو به ایمیل من ارسال کنید نداره ولی خب خرید از طریق وب سایتشون مشکلی در برنداره چون میتونید تمام موارد امنیتی رو بررسی کنید و خیالتون راحت باشه



برچسب ها : , ,