موبایلستان

موضوع امنیت پرداخت در اپلیکیشن روبیکا و آپ نگران کننده است

اپلیکیشن‌های روبیکا و آپ (آسان پرداخت) در حال انجام تبلیغات گسترده هستند و توانسته‌اند به تعداد زیادی دانلود برسند. در این مقاله از موبایلستان قصد داریم تا به بررسی موضوع امنیت پرداخت در این سرویس‌ها بپردازیم و تهدید‌های موجود را بررسی کنیم. همراه ما باشید.
در دنیای الکترونیک فعلی موضوع امنیت و حریم خصوصی مبحثی بسیار مهم و حیاتی است که فعالان این حوزه و البته خود کاربران باید توجه ویژه‌ای به آن داشته باشند. هیچ فردی دوست ندارد اطلاعات کارت بانکی‌اش در اختیار سایرین قرار گیرد و یا اینکه تصاویر شخصی‌اش در بستر اینترنت بدون اجازه وی منتشر شود. تمام این موارد از جمله موضوعاتی هستند که در بحث امنیت اطلاعات و حریم خصوصی قرار می‌گیرند.

مطالب مرتبط:

امنیت اطلاعات در مسائل مالی اهمیت بسیار بالایی دارد و دادگاه‌های ایران پر است از پرونده‌هایی در این خصوص و سرقت‌هایی که به دلیل عدم توجه به مباحث امنیت الکترونیکی صورت می‌گیرند. موضوعات فیشینگ، ساخت درگاه‌های پرداخت جعلی، وب‌سایت‌های نامعتبر و… همگی از جمله مواردی هستند که در جهت به دست آوردن اطلاعات بانکی کاربران انجام می‌شوند.
چند صباحی است که دو اپلیکیشن با نام‌های روبیکا و آپ (آسان پرداخت) تبلیغات گسترده‌ای را در تلویزیون و خیابان‌های کشور انجام می‌دهند. تبلیغات این دو اپلیکیشن به حدی گسترده است که در برنامه‌های تلویزیونی نیز دقایقی در خصوص آن‌ها حرف زده می‌شود و حتی قرعه‌کشی و موارد مشابه نیز در این برنامه‌ها توسط اپلیکیشن‌های مذکور صورت می‌گیرد. از آنجایی که شبکه‌های ملی کشور در حال تبلیغ اپلیکیشن‌های مذکور هستند، به نظر می‌رسد هر دو اپلیکیشن از نظر امنیت و حریم خصوصی بدون مشکل باشند و نباید جای نگرانی برای کاربران وجود داشته باشد. اما باید بگوییم که اینطور نیست…
روبیکا
روبیکا نام اپلیکشنی چند رسانه‌ای و کاربردی است که قابلیت‌های زیادی را در اختیار کاربرانش قرار می‌دهد. شیوه عضویت در این اپلیکیشن نیز بسیار ساده است و با دریافت کد تاییدیه توسط سیمکارت، می‌توان به خیل عظیمی از قابلیت‌های این اپلیکیشن دسترسی داشت. امکان مشاهده فیلم و سریال، دسترسی به خدمات پرداخت، امکان تعامل با برنامه‌های تلویزیونی، پخش موسیقی و در نهایت محتوای آموزشی از جمله قابلیت‌های روبیکا هستند. استفاده از خدمات این اپلیکیشن برای کاربران همراه اول و ایرانسل رایگان است و در زمان استفاده از آن هیچ ترافیکی از بسته اینترنتی آن‌ها کسر نخواهد شد. تمام این موارد باعث می‌شوند که اطمینان کاربران به روبیکا بیشتر شود. اما بخشی که در این اپلیکیشن جای بحث دارد مربوط به قسمت خدمات پرداخت آن است. بهتر است که پیش از ورود کامل به این مبحث با اپلیکیشن آپ (آسان پرداخت) نیز آشنا شویم.

اپلیکیشن آپ که مخفف آسان پرداخت است قابلیت‌های مختلفی را در زمینه موارد مالی ارائه می‌کند. این سرویس خدمات مربوط به کد USSD معروف #۷۳۳* را ارائه می‌دهد و در واقع هر دو تحت نظر یک شرکت فعالیت می‌کنند. علاوه بر قابلیت‌های #۷۳۳* که در این اپلیکیشن ارائه می‌شود، در این برنامه شاهد برخی ویژگی‌های دیگر نیز هستیم که از این جمله می‌توان به دریافت موجودی، پرداخت قبض از طریق اسکن بارکدخوان، انتقال وجه کارت به کارت، خرید بیمه شخص ثالت، خرید بلیط قطار و شرکت در مسابقات اشاره کرد. اپلیکیشن آپ نیز در بخش‌هایی که کاربر باید اطلاعات کارت بانکی خود را وارد کند، دارای مواردی است که باعث ایجاد نگرانی در کاربران می‌شود.

یکی از استاندارد‌هایی که در زمینه پرداخت الکترونیکی باید مورد توجه تمام سرویس‌ها قرار گیرد، این است که پرداخت باید از طریق مرورگر و در سایت درگاه بانکی صورت گیرد. همچنین سایت درگاه بانکی نیز باید به صورت Https اجرا شود تا امنیت لازم به دست آید. بسیاری از اپلیکیشن‌ها و وب‌سایت‌ها برای انجام پرداخت توسط کاربران چنین مراحلی را ترتیب دیده‌اند. دیجی‌کالا، کافه بازار و بسیاری از سرویس‌های اینترنتی که نیاز به پرداخت دارند، مراحل پرداخت را در مرورگر تحت پروتکل Https انجام می‌دهند. اما این در حالی است که اپلیکیشن‌های روبیکا و آپ تمام اطلاعات کارت بانکی کاربران را در داخل خود اپلیکیشن از وی دریافت می‌کنند.

دریافت اطلاعات کارت بانکی در داخل اپلیکیشن بدین معناست که ارائه دهنده سرویس می‌تواند به سادگی به این اطلاعات دسترسی داشته باشد. در واقع در زمان کد نویسی اپلیکیشن می‌توان به سادگی این اطلاعات را در کنار مسئله پرداخت در پایگاه داده خود ذخیره کرد و این همان موضوعی است که باعث ایجاد نگرانی می‌شود. دسترسی سایر افراد به اطلاعات کارت بانکی بدان معناست که وی می‌تواند به حساب بانکی شما دسترسی داشته و از آن سرقت کند.
جالب است که در اپلیکیشن آپ، کارت‌های بانکی کاربر نیز در سیستم ذخیره می‌شوند و در زمان استفاده بعدی با انتخاب یکی از کارت‌ها، برخی اطلاعات مربوط به کارت نیز به صورت خودکار در فیلد مربوطه ثبت می‌شوند و نیازی به وارد کردن آن‌ها توسط کاربر نیست.

با بررسی بخش حریم خصوصی در وب‌سایت روبیکا متوجه جمله زیر شدیم:

روبیکا هیچ گونه دسترسی به اطلاعات کارت بانکی کاربران اعم از شماره و رمز دوم نداشته و صرفا شماره های کارت ‏کاربران، در سوئیچ شرکت تجارت الکترونیک پارسیان (تاپ) که دارای مجوز‎ ‎از بانک مرکزی جمهوری اسلامی ایران ‏می‌باشد، قابل دستیابی است. ‏


جمله فوق بدان معناست که اپلیکیشن روبیکا هیچ دسترسی به اطلاعات بانکی ندارد، اما در زمان استفاده از این اپلیکیشن چنین موضوعی رد می‌شود و تمام اطلاعات داخل خود اپلیکیشن از کاربر دریافت می‌شوند. تجارت الکترونیک پارسیان نیز به عنوان سوئیچ مورد استفاده قرار می‌گیرد که برای انجام پرداخت‌ها ضروری است و باید پرداخت به طریقی به سیستم بانکی کشور متصل شود. اما این کار می‌توانست در بستر مرورگر و در قالب Https نیز صورت گیرد. البته باید بدین نکته نیز اشاره کنیم که بدون شک پرداخت در داخل برنامه از نظر کاربرپسندی، بسیار جالب‌تر از انتقال وی به مرورگر و پرداخت از طریق وب‌سایت درگاه بانکی است. اما مسئله امنیت موضوعی است که بسیار بیشتر از کاربرپسند بودن اپلیکیشن اهمیت دارد.

تمام این موارد در اپلیکیشن آپ نیز وجود دارند و کاربران به درگاه بانکی از طریق مرورگر متصل نمی‌شوند. البته این سرویس‌ها بر اساس ادعای خودشان زیر نظر بانک مرکزی فعالیت می‌کنند و احتمال دارد که راهکارهایی را در این خصوص اندیشیده‌اند تا اطلاعات کاربران ذخیره نشود. البته دستیابی به اطلاعات کارت بانکی لزوما به معنای سرقت اطلاعات و عدم امنیت در اپلیکیشن‌های مذکور نیست، اما هرچه که باشد این موضوع نگران کننده است.
شاید برایتان جالب باشد که بدانید کافه بازار اپلیکیشن‌هایی را که پرداخت را در بستر مرورگر و پروتکل Https انجام ندهند، تایید نمی‌کند و در نتیجه اپلیکیشن مذکور در کافه بازار منتشر نمی‌شود. اما اپلیکیشن‌های روبیکا و آپ هر دو توانسته‌اند در کافه بازار منتشر شوند. این در حالی است که خود کافه بازار نیز برای انجام پرداخت‌های خود از طریق مرورگر و پروتکل Https اقدام می‌کند. جمله زیر نیز مربوط به کافه بازار است:

پرداخت اینترنتی برای برنامه‌هایی که به این امکان نیاز دارند، لازم است از طریق درگاه‌های امن مورد تأیید بانک مرکزی انجام شود و در مرورگر نمایش داده شود.


همان‌طور که در این مقاله موبایلستان مطالعه کردید، با تهدید‌های موجود در اپلیکیشن آپ و روبیکا آشنا شدیم. نظر شما در این خصوص چیست؟ با ما و کاربران موبایلستان از طریق بخش دیدگاه‌ها در ارتباط باشید.


بیشتر بخوانید:

خروج از نسخه موبایل