في ديسمبر/كانون الأول 2024، أعلنت حكومة تصريف الأعمال في سوريا، عن آلية جديدة لصرف رواتب موظفي القطاع العام، التي كانت متوقفة منذ انهيار نظام المخلوع بشار الأسد في الثامن من ديسمبر 2024. الآلية الجديدة تعتمد على استخدام تطبيق إلكتروني مخصص، أثار جدلاً واسعًا بين الموظفين والخبراء الماليين، الذين عبروا عن مخاوفهم بشأن فعالية التطبيق ومدى أمانه.
وتعود بداية الخطة إلى أواخر العام السابق، عندما أصدر مصرف سوريا المركزي، تعميمًا، يُلزم جميع المؤسسات المالية والمصرفية في البلاد بتوجيه موظفيها إلى فتح حسابات عبر تطبيق "شام كاش" (ShamCash)، في خطوة تهدف إلى تسهيل عمليات الدفع الإلكتروني، لكنها أثارت العديد من التساؤلات حول الجوانب التقنية والأمنية لهذه المنصة.
جدل حول سلامة التطبيق من الناحية الأمنية
في حين يؤكد مطوّرو تطبيق "شام كاش"، أنّه مصمم وفق أعلى معايير الأمان لحماية بيانات المستخدمين ومعاملاتهم المالية، بما يضمن تجربة آمنة وموثوقة في جميع المراحل، أعرب بعض النشطاء والخبراء الذين قاموا بتثبيته وفحصه عن قلقهم الشديد حيال مستوى الأمان الذي يقدمه، حيث أفادوا بأنه يطلب صلاحيات واسعة وغير مبررة، تثير الريبة، مثل الوصول إلى الكاميرا، وملفات النظام، وإمكانية تتبع البيانات الشخصية.
وأثار غياب توفر التطبيق عن المتاجر الرسمية مثل "غوغل بلاي" و"أب ستور" مزيدًا من المخاوف، إذ اعتبر العديد من المستخدمين والخبراء أن ذلك يُشكل علامة تحذيرية بشأن مصداقيته وأمانه.
تحقق "مسبار" في هذا المقال من تطبيق "شام كاش"، ومن الادعاءات المتداولة بشأنه. ويشمل التحقيق سلسلة من الاختبارات التقنية والفنية الموسعة التي تهدف إلى تحليل بنية التطبيق وكشف أي ثغرات أمنية محتملة أو طلبات صلاحيات مشبوهة، سعيًا لتوضيح مدى مصداقية المخاوف المثارة حوله وأمان استخدامه.
نسخة التطبيق المستخدمة في اختبارات مسبار
أجرى مسبار اختباراته التقنية على أحدث إصدار متوفر من تطبيق "شام كاش"، والذي تم تحميله مباشرة من الموقع الرسمي للتطبيق (shamcash.com). وفحص الإصدار 0.2.0 من التطبيق باستخدام أدوات تحليل أمنية متقدمة لضمان دقة وموثوقية النتائج.
فحص تطبيق "شام كاش" يكشف غياب التهديدات الأمنية المباشرة
كشفت نتائج ثلاثة اختبارات تقنية أجراها مسبار، نتائج متقاطعة تفيد أن تطبيق "شام كاش" لا يحتوي على أي برمجيات خبيثة أو ملفات تجسس أو تحويلات مشبوهة إلى روابط خارجية خطيرة.
وقد اعتمد مسبار في هذه الاختبارات على أدوات موثوقة لفحص البرمجيات الضارة، من بينها منصة VirusTotal، التي تُجري تحليلات باستخدام محركات فحص متعددة من شركات أمنية رائدة، مما يعزز دقة النتائج وموثوقيتها. كما تمت الاستعانة بمنصات أخرى متخصصة في الأمن السيبراني للتحقق من سلامة التطبيق.
وأكدت النتائج أن التطبيق لا يمثل تهديدًا أمنيًا مباشرًا، وهو ما يتناقض مع المخاوف الأولية التي أثيرت حوله. ومع ذلك، تبقى تساؤلات مشروعة حول الصلاحيات التي يطلبها التطبيق ومدى ارتباطها بوظائفه الفعلية، الأمر الذي يستدعي المزيد من التدقيق لضمان حماية خصوصية المستخدمين.
التحليل الفني للتطبيق (Technical Analysis)
وفحص مسبار التطبيق من خلال تثبيته على هاتف يعمل بنظام أندرويد لاختبار خصائصه والتحقق من الأذونات التي يطلبها، بهدف معرفة ما إذا كانت هناك أي صلاحيات غير اعتيادية.
أظهرت نتائج الفحص أن التطبيق لا يطلب أي أذونات مشبوهة تتجاوز ما تطلبه التطبيقات العادية. حيث اقتصر على طلب إذن الوصول إلى الإشعارات، وهو أمر اختياري يمكن للمستخدم رفضه أيضًا، علمًا أن هذه الأذونات تُعد أقل بكثير مما تطلبه معظم التطبيقات الشائعة.
فيما يتعلق بطلب التطبيق الوصول إلى الكاميرا، فقد تبيّن أن ذلك يقتصر على الحالات التي يتم فيها استخدام خاصية مسح رمز الاستجابة السريعة (QR Code)، واستخدام الكاميرا ضروري ذلك.
ومن الجدير بالذكر أن التطبيق يعمل بشكل طبيعي حتى في حال عدم منح هذا الإذن، ما يؤكد أنه لا يجبر المستخدم على تفعيله لاستمرار أدائه. كما لوحظ أن التطبيق لا يستخدم الكاميرا في الخلفية عند عدم استخدام خاصية مسح رمز الاستجابة السريعة.
علاوة على ذلك، لم يطلب التطبيق أي أذونات إجبارية عند تثبيته، واستمر في العمل دون أي مشكلات حتى عند رفض منحه صلاحية الوصول، وبمراجعة الخدمات والمكونات التي تستخدم الكاميرا فحص مسبار الأذونات عند منحها الصلاحية وشكل عملها، ووجد إذنان أساسيان يفرضهما التطبيق:
android.permission.CAMERA: يتيح هذا الإذن للتطبيق الوصول إلى الكاميرا والتقاط الصور أو تسجيل الفيديو.
android.hardware.camera: يشير إلى أن التطبيق يمكنه استخدام الكاميرا إذا كانت متاحة، ولكنه لا يعتبر وجود صلاحية الوصول للكاميرا شرطًا أساسيًا لتشغيل التطبيق بسبب الخاصية المكتوبة: (required="false").
من ناحية أخرى توجد عدة خدمات ومزودات مرتبطة بالكاميرا، وكانت مغلقة أيضًا (enabled="false") وغير مُصدّرة (exported="false")، مما يقلل من احتمال استغلالها من قبل تطبيقات أخرى.
تحليل سلوك التطبيق (Dynamic Analysis)
قام مسبار، أيضًا، بفحص ما إذا كان التطبيق يستمر بالعمل في الخلفية بعد إغلاقه، ولاحظ أنّه يتوقف عن العمل تمامًا بمجرد إغلاقه كليًا من قائمة التطبيقات. ولم يُظهر التطبيق أي سلوك مشابه لتطبيقات التعقب أو التجسس، حيث لا يعاود التشغيل تلقائيًا دون تدخل المستخدم.
نتائج فحص استهلاك الموارد
أظهر فحص مراقبة استهلاك الموارد الذي أجراه مسبار أن تطبيق "شام كاش" لا يستهلك البطارية بشكل غير طبيعي أو مريب. وعادةً ما يكون الاستهلاك المرتفع للطاقة علامة على تشغيل التطبيقات في الخلفية بشكل مستمر، مما قد يثير مخاوف بشأن الأنشطة غير المصرح بها. ومع ذلك، لم يرصد الفحص أي مؤشرات تدل على استنزاف غير مبرر للبطارية.
تحليل أمان تطبيق "شام كاش"
رغم عدم اكتشاف أي برمجيات تجسس في تطبيق "شام كاش"، إلا أن هناك بعض الجوانب الأمنية التي تستدعي الانتباه، خاصة أن التطبيق يتعلق بالتحويلات المالية. عند اختبار التطبيق، لوحظ أنه لا يتطلب إدخال رمز التحقق المرسل إلى البريد الإلكتروني أو رقم الهاتف لتأكيد هوية المستخدم.
هذه الثغرة قد تتيح للمهاجمين الإلكترونيين إمكانية إنشاء حسابات متعددة بسهولة، مما يشير إلى وجود فجوات في البنية التقنية للتطبيق، مثل عدم توفر خوادم للإرسال التلقائي للأكواد أو آليات التفعيل الضرورية. هذا الأمر قد يعكس حداثة التطبيق وعدم اكتمال تجهيزاته الأمنية.
تحليل الأذونات المطلوبة أظهر أن التطبيق يطلب أذونات منطقية، مثل الوصول إلى الإنترنت، الكاميرا لمسح رمز الاستجابة السريعة (QR Code)، وإرسال الإشعارات، إلى جانب استخدام البيانات البيومترية. وكانت هذه الأذونات تتماشى مع وظائف التطبيق.
مدى اعتماد التطبيق على خدمات خارجية
يعتمد التطبيق بشكل كبير على خدمات "Firebase" المقدمة من غوغل والي توفر مجموعة من الأدوات والخدمات التي تساعد المطورين على إنشاء تطبيقات ويب في الإشعارات وتحليل البيانات، مما يعزز موثوقية التطبيق، ولكنه يتطلب توافقًا صارمًا مع سياسات الخصوصية وحماية البيانات لضمان عدم استغلال معلومات المستخدمين بطريقة غير مشروعة.
مخاوف عدم توفر التطبيق في المتاجر الرسمية
عدم توفر التطبيق على منصات المتاجر الرسمية مثل "غوغل بلاي" و"أب ستور" لا يعني بالضرورة أنه غير آمن، لكنه يشكل علامة تحذيرية تستوجب الانتباه.
التطبيقات المدرجة في المتاجر الرسمية تخضع لمراجعات أمنية دقيقة تشمل الفحص التقني، الامتثال لسياسات الخصوصية، والتأكد من خلوها من أي أنشطة مشبوهة. من ناحية أخرى، يمكن أن تكون التطبيقات المتاحة من مصادر موثوقة آمنة، ولكن تحميلها من مصادر غير معروفة قد يزيد من أخطار التعرض لبرمجيات ضارة أو لانتهاكات الخصوصية.
غياب سياسة الخصوصية في تطبيق "شام كاش"
لاحظ مسبار عند تثبيت التطبيق عدم توفر سياسة الخصوصية في التطبيق، مما قد يثير بعض التساؤلات حول كيفية تعامل التطبيق مع بيانات المستخدمين وحمايتها.
تَوفُر سياسة خصوصية واضحة، يساعد المستخدمين على فهم نوع البيانات التي يتم جمعها، وكيفية استخدامها ومشاركتها، مما يعزز الثقة في التطبيق، ويمّكن مستخدميه من المساءلة القانونية للمطورين في حال انتهاكهم لها.
رغم أن غياب سياسة الخصوصية لا يعني بالضرورة وجود مخاطر أمنية، إلا أنه يُفضل أن يحرص المطورون على توفيرها لضمان الشفافية والامتثال للمعايير القانونية المتبعة في حماية خصوصية المستخدمين، خاصة مع تزايد الاهتمام بالخصوصية في العصر الرقمي.
إرشادات لتقليل المخاطر الأمنية لمستخدمي تطبيق "شام كاش" في سوريا
نظرًا لاعتماد الموظفين في سوريا على هذا التطبيق في استلام الرواتب قبل إعادة تهيئة النظام المصرفي المالي بعد سقوط النظام، من الضروري اتخاذ إجراءات وقائية لتقليل المخاطر المحتملة وضمان الاستخدام الآمن.
يُنصح باستخدام التطبيق فقط أثناء الحاجة الفعلية إليه، ثم إغلاقه فور الانتهاء لتقليل فرص تعرض البيانات لأي استغلال.
يمكن القيام بذلك عبر التوجه إلى إعدادات الهاتف > التطبيقات > التطبيق > إيقاف إجباري (Force Stop)، مما يضمن عدم استمرار التطبيق في العمل بالخلفية أو جمع أي بيانات إضافية دون علم المستخدم.
فيما يخص الأذونات، يجب التعامل معها بحذر لضمان عدم منح التطبيق صلاحيات غير ضرورية. يُفضل تفعيل إذن الوصول إلى الكاميرا فقط أثناء استخدام ميزة فحص رمز QR، ومن ثم إلغاء الإذن بعد الانتهاء عبر إعدادات الهاتف لمنع الوصول غير المصرح به في المستقبل.
يمكن تنفيذ ذلك بالذهاب إلى الإعدادات > التطبيقات > الأذونات > رفض إذن الكاميرا، مما يقلل من مخاطر الاستغلال المحتمل للكاميرا في الخلفية. علاوة على ذلك، يجب على المستخدمين تجنب منح التطبيق أي أذونات غير متعلقة بوظيفته الأساسية، مثل الوصول إلى الملفات أو جهات الاتصال أو الموقع الجغرافي.
ورغم أن التطبيق لا يتطلب حاليًا النقر على أي روابط خارجية، فمن الضروري توخي الحذر وتجنب فتح أي روابط مشبوهة قد تظهر داخل التطبيق أو تصل من مصادر غير موثوقة. يمكن أن تكون مثل هذه الروابط وسيلة لسرقة البيانات أو توجيه المستخدمين إلى مواقع تصيد احتيالي مصممة لخداعهم.
كما يُنصح بمراقبة استهلاك البطارية والبيانات بشكل دوري من خلال إعدادات الهاتف، حيث يمكن أن يكون الاستهلاك غير المعتاد مؤشرًا على تشغيل التطبيق لأنشطة غير معلنة.
بالإضافة إلى ذلك، يمكن للمستخدمين استخدام تطبيقات الحماية مثل NetGuard أو NoRoot Firewall لمنع التطبيق من الوصول إلى الإنترنت عند عدم الحاجة، مما يحدّ من المخاطر المحتملة المرتبطة بتبادل البيانات غير الضروري.
ختامًا، يبقى الحذر هو المفتاح عند استخدام التطبيقات غير المتوفرة على المتاجر الرسمية، لذا يجب على المستخدمين دائمًا التأكد من المصدر الذي يتم تحميل التطبيق منه، وتحديثه فقط عبر القنوات الرسمية الخاصة به لتجنب النسخ المعدلة التي قد تحتوي على برمجيات ضارة.
اقرأ/ي أيضًا
الاحتيال عبر الإنترنت وأنواع الهجمات السيبرانية الجديدة
ما أشهر أساليب الاحتيال المالي عبر الإنترنت وما هي طرائق اكتشافه؟
المصادر
تابع آخر أخبار مسبار عبر Google News اقرأ/ي أيضًا
الأكثر قراءة
كافح المعلومات المضللة
شارك بمحاربة المعلومات الكاذبة والمضللة على الشبكة بإبلاغنا عنها
تابعنا عبر مواقع التواصل الاجتماعي
