كشف المركز السوري للأمن الرقمي في تقرير تقني موسّع عن ثغرات خطيرة في تطبيق "ShamCash"، الذي يُسوّق على أنه منصة تحويل مالية رقمية، في حين يفتقر إلى أبسط معايير الأمان، ويجمع بيانات حساسة دون إطار قانوني.
وبحسب التقرير الصادر بتاريخ 20 حزيران/يونيو، صنّف المركز التطبيق ضمن خانة "الخطر الشديد"، مشيرًا إلى خلل في البنية التحتية المرتبطة به، وضعف تشفير البيانات، وسوء إدارة النطاقات، بالإضافة إلى توزيع نسخ ملوثة ببرمجيات خبيثة.
من بين أبرز المخاطر:
- التطبيق غير متاح على المتاجر الرسمية، ما يعني تجاوزه فحوص الأمان القياسية مثل Google Play Protect.
- خوادم ولوحات إدارة مثل webdisk.shamcash.org http://xn--cpanel-9pi.shamcash.org/ تعتمد مصادقة ضعيفة يمكن كسرها بسهولة.
غياب سياسة خصوصية، رغم جمعه بيانات الهوية والحسابات البنكية.
- شهادات توقيع رقمية منتهية الموثوقية، صادرة باسم غير معروف "NorthSoft".
- أحد النطاقات (shamcash.co) يستخدم في هجمات تصيّد، ويستضيف محتوىً غير ذي صلة.
- التطبيق يضع مفاتيح التشفير ورموز المصادقة عبر سجلات يمكن الوصول إليها.
- نسخة APK منشورة على الإنترنت، بحجم نحو 60 ميغابايت، صنّفتها منصات الأمن الرقمي على أنها "حصان طروادة متقدم".
- التقرير أشار أيضاً إلى خرق واضح لتعميم وزارة الاتصالات الصادر في 10 نيسان/أبريل 2025، الذي يمنع أي جهة من جمع البيانات الشخصية دون استضافة محلية وموافقة حكومية مسبقة، وهو ما لم يلتزم به مطورو التطبيق.
التوصيات الأمنية التي قدمها الفريق شملت:
- رفع التطبيق إلى متجر "غوغل بلاي" مع تفعيل بروتوكولات السلامة.
- إغلاق الخوادم المكشوفة أو حمايتها عبر VPN وتوثيق ثنائي.
- حذف النطاقات المستخدمة في التصيد والإبلاغ عنها.
- تنفيذ نظام تشفير حقيقي طرف-إلى-طرف، مع بقاء المفاتيح داخل أجهزة المستخدمين.
- توظيف مسؤول حماية بيانات وتدقيق البنية التحتية بشكل دوري.
وختم التقرير بتحذير واضح: استمرار تشغيل التطبيق بوضعه الحالي يعرّض المستخدمين لخطر مباشر، ويهدد بانتهاكات واسعة للخصوصية المالية والشخصية.
زمان الوصل
تعليقات حول الموضوع
لإرسال تعليق,الرجاء تعبئة الحقول التالية