كشف تقرير تقني صادر عن المركز السوري للأمن الرقمي عن وجود ثغرات خطيرة في تطبيق "ShamCash"، والذي يتم التسويق له على أنه منصة رقمية للتحويلات المالية. وأشار التقرير إلى أن التطبيق يفتقر إلى معايير الأمان الأساسية ويقوم بجمع بيانات حساسة دون وجود إطار قانوني ينظم ذلك.
صنف المركز السوري للأمن الرقمي التطبيق ضمن فئة "الخطر الشديد"، وذلك وفقًا للتقرير الصادر في 20 حزيران/يونيو. وأرجع المركز هذا التصنيف إلى وجود خلل في البنية التحتية للتطبيق، وضعف في تشفير البيانات، وسوء إدارة النطاقات، بالإضافة إلى توزيع نسخ ملوثة ببرمجيات خبيثة.
ومن أبرز المخاطر التي ذكرها التقرير:
- عدم توفر التطبيق على المتاجر الرسمية، مما يعني تجاوزه لفحوص الأمان القياسية مثل Google Play Protect.
- اعتماد خوادم ولوحات إدارة مثل webdisk.shamcash.org و http://xn--cpanel-9pi.shamcash.org/ على مصادقة ضعيفة يمكن اختراقها بسهولة.
- غياب سياسة خصوصية واضحة، على الرغم من جمع التطبيق لبيانات الهوية والحسابات البنكية.
- انتهاء صلاحية شهادات التوقيع الرقمية، والتي صدرت باسم غير معروف وهو "NorthSoft".
- استخدام أحد النطاقات (shamcash.co) في هجمات التصيد الاحتيالي، واستضافة محتوى غير ذي صلة.
- قيام التطبيق بوضع مفاتيح التشفير ورموز المصادقة عبر سجلات يمكن الوصول إليها.
- تصنيف نسخة APK المنشورة على الإنترنت، والتي يبلغ حجمها حوالي 60 ميغابايت، من قبل منصات الأمن الرقمي على أنها "حصان طروادة متقدم".
كما أشار التقرير إلى خرق واضح لتعميم وزارة الاتصالات الصادر في 10 نيسان/أبريل 2025، والذي يمنع أي جهة من جمع البيانات الشخصية دون استضافة محلية وموافقة حكومية مسبقة، وهو ما لم يلتزم به مطورو التطبيق.
تضمنت التوصيات الأمنية التي قدمها الفريق:
- رفع التطبيق إلى متجر "غوغل بلاي" مع تفعيل بروتوكولات السلامة.
- إغلاق الخوادم المكشوفة أو حمايتها عبر VPN وتوثيق ثنائي.
- حذف النطاقات المستخدمة في التصيد والإبلاغ عنها.
- تنفيذ نظام تشفير حقيقي طرف-إلى-طرف، مع بقاء المفاتيح داخل أجهزة المستخدمين.
- توظيف مسؤول حماية بيانات وتدقيق البنية التحتية بشكل دوري.
وختم التقرير بتحذير من أن استمرار تشغيل التطبيق بوضعه الحالي يعرض المستخدمين لخطر مباشر، ويهدد بانتهاكات واسعة للخصوصية المالية والشخصية.
زمان الوصل