اپلیکیشنهای روبیکا و آپ (آسان پرداخت) در حال انجام تبلیغات گسترده هستند و توانستهاند به تعداد زیادی دانلود برسند. در این مقاله از موبایلستان قصد داریم تا به بررسی موضوع امنیت پرداخت در این سرویسها بپردازیم و تهدیدهای موجود را بررسی کنیم. همراه ما باشید.
در دنیای الکترونیک فعلی موضوع امنیت و حریم خصوصی مبحثی بسیار مهم و حیاتی است که فعالان این حوزه و البته خود کاربران باید توجه ویژهای به آن داشته باشند. هیچ فردی دوست ندارد اطلاعات کارت بانکیاش در اختیار سایرین قرار گیرد و یا اینکه تصاویر شخصیاش در بستر اینترنت بدون اجازه وی منتشر شود. تمام این موارد از جمله موضوعاتی هستند که در بحث امنیت اطلاعات و حریم خصوصی قرار میگیرند.
مطالب مرتبط:
- هدف بانک مرکزی از ایجاد محدودیت برای USSD چیست؟
- جیرینگ از USSD به اپلیکیشن کوچ میکند
- بانک مرکزی بالاخره پرداخت از طریق NFC را پذیرفت
امنیت اطلاعات در مسائل مالی اهمیت بسیار بالایی دارد و دادگاههای ایران پر است از پروندههایی در این خصوص و سرقتهایی که به دلیل عدم توجه به مباحث امنیت الکترونیکی صورت میگیرند. موضوعات فیشینگ، ساخت درگاههای پرداخت جعلی، وبسایتهای نامعتبر و… همگی از جمله مواردی هستند که در جهت به دست آوردن اطلاعات بانکی کاربران انجام میشوند.
چند صباحی است که دو اپلیکیشن با نامهای روبیکا و آپ (آسان پرداخت) تبلیغات گستردهای را در تلویزیون و خیابانهای کشور انجام میدهند. تبلیغات این دو اپلیکیشن به حدی گسترده است که در برنامههای تلویزیونی نیز دقایقی در خصوص آنها حرف زده میشود و حتی قرعهکشی و موارد مشابه نیز در این برنامهها توسط اپلیکیشنهای مذکور صورت میگیرد. از آنجایی که شبکههای ملی کشور در حال تبلیغ اپلیکیشنهای مذکور هستند، به نظر میرسد هر دو اپلیکیشن از نظر امنیت و حریم خصوصی بدون مشکل باشند و نباید جای نگرانی برای کاربران وجود داشته باشد. اما باید بگوییم که اینطور نیست…
روبیکا نام اپلیکشنی چند رسانهای و کاربردی است که قابلیتهای زیادی را در اختیار کاربرانش قرار میدهد. شیوه عضویت در این اپلیکیشن نیز بسیار ساده است و با دریافت کد تاییدیه توسط سیمکارت، میتوان به خیل عظیمی از قابلیتهای این اپلیکیشن دسترسی داشت. امکان مشاهده فیلم و سریال، دسترسی به خدمات پرداخت، امکان تعامل با برنامههای تلویزیونی، پخش موسیقی و در نهایت محتوای آموزشی از جمله قابلیتهای روبیکا هستند. استفاده از خدمات این اپلیکیشن برای کاربران همراه اول و ایرانسل رایگان است و در زمان استفاده از آن هیچ ترافیکی از بسته اینترنتی آنها کسر نخواهد شد. تمام این موارد باعث میشوند که اطمینان کاربران به روبیکا بیشتر شود. اما بخشی که در این اپلیکیشن جای بحث دارد مربوط به قسمت خدمات پرداخت آن است. بهتر است که پیش از ورود کامل به این مبحث با اپلیکیشن آپ (آسان پرداخت) نیز آشنا شویم.
اپلیکیشن آپ که مخفف آسان پرداخت است قابلیتهای مختلفی را در زمینه موارد مالی ارائه میکند. این سرویس خدمات مربوط به کد USSD معروف #۷۳۳* را ارائه میدهد و در واقع هر دو تحت نظر یک شرکت فعالیت میکنند. علاوه بر قابلیتهای #۷۳۳* که در این اپلیکیشن ارائه میشود، در این برنامه شاهد برخی ویژگیهای دیگر نیز هستیم که از این جمله میتوان به دریافت موجودی، پرداخت قبض از طریق اسکن بارکدخوان، انتقال وجه کارت به کارت، خرید بیمه شخص ثالت، خرید بلیط قطار و شرکت در مسابقات اشاره کرد. اپلیکیشن آپ نیز در بخشهایی که کاربر باید اطلاعات کارت بانکی خود را وارد کند، دارای مواردی است که باعث ایجاد نگرانی در کاربران میشود.
یکی از استانداردهایی که در زمینه پرداخت الکترونیکی باید مورد توجه تمام سرویسها قرار گیرد، این است که پرداخت باید از طریق مرورگر و در سایت درگاه بانکی صورت گیرد. همچنین سایت درگاه بانکی نیز باید به صورت Https اجرا شود تا امنیت لازم به دست آید. بسیاری از اپلیکیشنها و وبسایتها برای انجام پرداخت توسط کاربران چنین مراحلی را ترتیب دیدهاند. دیجیکالا، کافه بازار و بسیاری از سرویسهای اینترنتی که نیاز به پرداخت دارند، مراحل پرداخت را در مرورگر تحت پروتکل Https انجام میدهند. اما این در حالی است که اپلیکیشنهای روبیکا و آپ تمام اطلاعات کارت بانکی کاربران را در داخل خود اپلیکیشن از وی دریافت میکنند.
دریافت اطلاعات کارت بانکی در داخل اپلیکیشن بدین معناست که ارائه دهنده سرویس میتواند به سادگی به این اطلاعات دسترسی داشته باشد. در واقع در زمان کد نویسی اپلیکیشن میتوان به سادگی این اطلاعات را در کنار مسئله پرداخت در پایگاه داده خود ذخیره کرد و این همان موضوعی است که باعث ایجاد نگرانی میشود. دسترسی سایر افراد به اطلاعات کارت بانکی بدان معناست که وی میتواند به حساب بانکی شما دسترسی داشته و از آن سرقت کند.
جالب است که در اپلیکیشن آپ، کارتهای بانکی کاربر نیز در سیستم ذخیره میشوند و در زمان استفاده بعدی با انتخاب یکی از کارتها، برخی اطلاعات مربوط به کارت نیز به صورت خودکار در فیلد مربوطه ثبت میشوند و نیازی به وارد کردن آنها توسط کاربر نیست.
با بررسی بخش حریم خصوصی در وبسایت روبیکا متوجه جمله زیر شدیم:
روبیکا هیچ گونه دسترسی به اطلاعات کارت بانکی کاربران اعم از شماره و رمز دوم نداشته و صرفا شماره های کارت کاربران، در سوئیچ شرکت تجارت الکترونیک پارسیان (تاپ) که دارای مجوز از بانک مرکزی جمهوری اسلامی ایران میباشد، قابل دستیابی است.
جمله فوق بدان معناست که اپلیکیشن روبیکا هیچ دسترسی به اطلاعات بانکی ندارد، اما در زمان استفاده از این اپلیکیشن چنین موضوعی رد میشود و تمام اطلاعات داخل خود اپلیکیشن از کاربر دریافت میشوند. تجارت الکترونیک پارسیان نیز به عنوان سوئیچ مورد استفاده قرار میگیرد که برای انجام پرداختها ضروری است و باید پرداخت به طریقی به سیستم بانکی کشور متصل شود. اما این کار میتوانست در بستر مرورگر و در قالب Https نیز صورت گیرد. البته باید بدین نکته نیز اشاره کنیم که بدون شک پرداخت در داخل برنامه از نظر کاربرپسندی، بسیار جالبتر از انتقال وی به مرورگر و پرداخت از طریق وبسایت درگاه بانکی است. اما مسئله امنیت موضوعی است که بسیار بیشتر از کاربرپسند بودن اپلیکیشن اهمیت دارد.
تمام این موارد در اپلیکیشن آپ نیز وجود دارند و کاربران به درگاه بانکی از طریق مرورگر متصل نمیشوند. البته این سرویسها بر اساس ادعای خودشان زیر نظر بانک مرکزی فعالیت میکنند و احتمال دارد که راهکارهایی را در این خصوص اندیشیدهاند تا اطلاعات کاربران ذخیره نشود. البته دستیابی به اطلاعات کارت بانکی لزوما به معنای سرقت اطلاعات و عدم امنیت در اپلیکیشنهای مذکور نیست، اما هرچه که باشد این موضوع نگران کننده است.
شاید برایتان جالب باشد که بدانید کافه بازار اپلیکیشنهایی را که پرداخت را در بستر مرورگر و پروتکل Https انجام ندهند، تایید نمیکند و در نتیجه اپلیکیشن مذکور در کافه بازار منتشر نمیشود. اما اپلیکیشنهای روبیکا و آپ هر دو توانستهاند در کافه بازار منتشر شوند. این در حالی است که خود کافه بازار نیز برای انجام پرداختهای خود از طریق مرورگر و پروتکل Https اقدام میکند. جمله زیر نیز مربوط به کافه بازار است:
پرداخت اینترنتی برای برنامههایی که به این امکان نیاز دارند، لازم است از طریق درگاههای امن مورد تأیید بانک مرکزی انجام شود و در مرورگر نمایش داده شود.
همانطور که در این مقاله موبایلستان مطالعه کردید، با تهدیدهای موجود در اپلیکیشن آپ و روبیکا آشنا شدیم. نظر شما در این خصوص چیست؟ با ما و کاربران موبایلستان از طریق بخش دیدگاهها در ارتباط باشید.