نائب رييس هيات مديره انجمن افتا در حاشيه جلسه كميسيون ICT اتاق بازرگاني USSD را روشي نا ايمن براي تبادلات بانكي ارزيابي كرده و ابراز داشت با كوچكترين تغيير در ساختار آن اين سرويس ديگر روي گوشيهاي موبايل كار نخواهد كرد.
به گزارش روابط عمومي فدراسيون ICT اتاق بازرگاني ايران، شاهين نورزي نائب رييس هيات مديره انجمن افتا(انجمن توليدكنندگان تجهيزات امنيت فضاي تبادل اطلاعات) و كارشناس ارشد امنيت فناوري اطلاعات، در خصوص ussd و روشي كه براي امن شدن تبادل بانكي با استفاده از اين شيوه قرار است ايجاد شود ابراز داشت: USSD اساسا يك پروتكلي است كه ما نميتوانيم اين پروتكل استاندارد را برهم بزنيم و هركس به محض آنكه بخواهد كوچكترين تغييري در ساختار اين پروتكل بدهد اين سرويس ديگر روي گوشيها كار نميكند، چرا كه گوشيها يك پروتكل استاندارد را ميشناسند؛ بنابراين تغيير در پروتكل USSD امكان پذير نيست اما در بخش داده اطلاعاتی آن می توان تغییراتی را اعمال کرد.
اين كارشناس ارشد امنيت فناوري اطلاعات همچنين با ذكر ساير مخاطرات استفاده از USSD در خصوص امكان رمزنگاري روي اين پروتكل براي امنتر كردن آن ابراز داشت: از آنجا که در پروتكل ussd هيچ نوع رمزنگاري استانداردي وجود ندارد لذا با اين شرايط اين كه در نظام بانكي كشور ميگويند پروتكل USSD ناامن است كاملا صحيح است.
وي افزود: شما به عنوان يك شهروند اگر شماره بانكي، رمز دوم، ccv2 و تاريخ انقضاي كارتتان را در USSD بزنيد شك نكنيد كه اپراتور تمام اين اطلاعات را دارد و ميتواند يك كارمند در درون اين اپراتور لاگ را ببيند و می تواند به جاي شما يك تراكنش را اجرا كند. پس آنچه در نظام بانكي ميگويند اين موضوع نا امن است يك واقعيت است و پروتكل USSD در شرایط استفاده فعلی براي تبادلات بانكي نا امن است.
نائب رييس هيات مديره انجمن افتا در خصوص اينكه آيا ميشود راهكارهاي امني براي استفاده از USSD فراهم كرد نيز گفت: راهکارهای متعددی برای ارتقای امنیت تبادل اطلاعات از طریق پروتکل USSD می توان می توان ارائه کرد مئل رمزنگاری اطلاعات بخش داده در پروتکل یا استفاده غیر مستقیم از اطلاعات بانکی و روشهاي ديگر اما انچه مسلم است اين است که ساختار اصلی پروتکل نباید تغییر کند و عوامل انتقال اطلاعات از طریق این پروتکل نباید به محتوای اطلاعات دست یابند.
