• 44965531 (21) 98+
  • تهران – فلکه دوم صادقیه -خیابان آیت الله کاشانی – کوچه احمدی - پلاک ۳ (ساختمان آراد) - واحد ۳

امنیت USSD

كاهش ريسك امنيت در نرم‌افزارهاي پرداخت مبتني بر USSD‌ در تلفن همراه

بر اساس گزارش گارتنر، تا سال ۲۰۱۴ بيش از ۳ ميليارد نفر در سرتاسر دنيا كاربر تلفن همراه خواهند بود. يكي از جذاب‌ترين سرویسهای كاربردي در تلفن همراه، ارائه خدمات مالي و پرداخت است.

در پرداخت از طريق تلفن همراه مسيرهاي ارتباطي مختلفي مانندپیامک USSD (Unstructured Supplementary Service Data) و ارتباطات مبتني بر IPرا بكار مي‌گيرند كه لزوما امن نيستند. با افزايش ميزان بكارگيري اين مسيرها، شكاف‌هاي امنيتي مهم‌ترين دغدغه خدمت‌دهندگان خواهد بود.

مهم‌ترين عواملي كه هر روز بر اهميت امنيت نرم‌افزارهاي تلفن همراه مي‌افزايد عبارتند از:

  • تراكنش‌هاي جعلی از طريق نرم‌افزارهاي تلفن همراه مانند USSDو DSTK(Dynamic SIM Toolkit)
  • محرمانگی مورد نياز براي داده‌هاي حساس كاربران مانند اطلاعات حساب و كارت‌هاي اعتباري
  • از دست دادن درآمد بر اثر استفاده نادرست از خدمات ارتباطي
  • تنزل اعتبار نام و نشان اپراتورهای سرویس دهنده به خاطر كپي‌برداري و حملات مشابه
  • سوء استفاده از داده‌هاي سازمان از طريق ابزارهاي حملات مبتنی بر USSD

با شناسايي اين مخاطرات، شركت‌هاي مخابراتي، شركت‌هاي توسعه و يكپارچه‌ساز نرم‌افزاري و بانك‌هاي ارائه دهنده خدمات USSDنيازمند ارزيابي امنیتی و تست نفوذپذیری نرم‌افزارهاي خود و ايجاد اطمينان از امنيت كدهاي توليدشده در چرخه توسعه نرم‌افزارهاي ارائه خدمات USSDهستند.

امن‌سازي نرم‌افزارهاي مبتني بر USSD

مهم‌ترين فعاليت‌هايي كه بايستي براي ايجاد امنيت در نرم‌افزارهاي پرداخت توسط تلفن همراه انجام شود در قالب چهار فاز به صورت زير تعريف شده است

فاز۱-  جمع‌آوري اطلاعات

در فاز اول ابتدا مخاطرات نقاط حساس شناسايي مي‌شود. سپس راهكارهاي رفع مخاطرات و كنترل‌ها و واسط‌هاي كاربري لازم جهت كاهش ريسك آن‌ها تدوين مي‌شود. سپس سطوح دسترسي مختلف و نرم‌افزارها به همراه نقاط قابل نفوذ در آن‌ها و راهكارهاي جلوگيري از آن شناسايي مي‌شود.

جمع‌آوري اطلاعات مربوط به معماري نرم‌افزار و سرورهاي USSDو مكانيزمهاي درخواست و پاسخ آن‌ها، سطوح اعتباري تلفن همراه و چرخه ثبت وقايع، آخرين گام در اين مرحله خواهد بود.

فاز۲- ارزيابي امنيت نرم‌افزارهاي USSD

تقريبا تمامي مخاطرات بايستي در اين فاز ارزيابي شوند. در اين ارزيابي، امنيت يك به يك اجزاء و سپس امنيت سيستم با سه رويكرد Black-box، Gray-boxو White-boxصورت مي‌پذيرد. هر يك از اين رويكردها شامل گام‌هاي زير خواهد بود:

۱-     تست بدون داشتن اطلاعات: در اين تست كليه نرم‌افزارهاي USSDبايستي در برابر كليه حملات در سطوح ارزيابي شوند.

۲-     تست با دراختيار داشتن دسترسي‌هاي مختلف: در اين نوع تست، بر اساس سطوح دسترسي تعريف شده در سيستم، كليه حملات مورد بررسي قرار مي‌گيرند.

فاز۳- ارزيابي امنيت سطوح دسترسي تلفن همراه

در اين مرحله مولفه‌هاي سطوح مختلف بطور دستي و همچنين با ابزارها و تكنيك‌هاي خودكار ارزيابي مي‌شوند. همچنين امنيت تراكنش‌هاي مالي در دروازه‌هاي پرداخت، اجزاء زيرساخت بانك و واسط كاربري پرداخت مورد بررسي قرار مي‌گيرد.

فاز۴- كاهش مخاطرات امنيتي نرم‌افزارهاي USSD

در مرحله نهايي راهكارهاي كاهش مخاطراتِ شناسايي‌شده در نرم‌افزارها، مخاطرات سطوح دسترسي، مخاطرات واسط كاربري و مخاطرات تعامل بانكي پياده‌سازي مي‌شود. اين به معناي پياده‌سازي واسط‌هاي كاربري امن، توليد كدهاي امن در كل چرخه توسطه نرم‌افزار و تاييد اعتبار آن نسبت به امن‌ترين كدهاي توليدي شناخته شده است.