في أوائل كانون الثاني/يناير الماضي، طلبت الحكومة السورية الجديدة من بعض موظفي القطاع العام تحميل تطبيق “شام كاش” (Shamcash)، وهو عبارة عن محفظة إلكترونيّة، لاستلام الرواتب.
كان التطبيق مستخدماً في محافظة إدلب قبل سقوط النظام في كانون الأول/ديسمبر الماضي، أي في الفترة التي كانت خاضعةً فيها لحكم “هيئة تحرير الشام”. اليوم، بات يُستخدم لتوزيع الرواتب من قبل الحكومة السورية في بعض القطاعات، ودفع الفواتير ورسوم الجامعات، بالإضافة إلى إرسال واستلام الأموال.
يمكن تنزيل التطبيق عبر موقع “شام كاش” حصراً، وهو غير متوفّر على متجري “أندرويد” و”آي أو إس”(IOS)، ما يعني أنّه غير موثوق، كونه لم يخضع لاختبارات التحقق من الموثوقيّة التي يجريها المتجران. كذلك، أفادت تقارير صحافيّة في كانون الثاني/يناير الماضي بأنّ التطبيق يرتبط بتحويلات قادمة عن طريق “بنك الشام” بإدلب، والذي هو بالأصل محلّ صرافة مسجّل في تركيا ولا يتمتّع بأيّ اعترافٍ دوليّ، كما لا تمرّ الأموال المحوّلة عن طريق “شام كاش” عبر مصرف سوريا المركزي، أو النظام المصرفي العالمي.
من جهة أخرى، يعاني التطبيق من مشاكل تقنيّة حالت دون وصول المستخدمين/ات إليه بشكلٍ متكرّر. وقد أثّر هذا على كثيرين نظراً إلى طلب عددٍ من المرافق الأساسيّة من موظّفيها والمستفيدين من خدماتها تحميل التطبيق وتفعيله. وتسبّب ذلك بغضبٍ شعبيّ خاصة مع تزامن هذه المشاكل مع عيد الفطر. وبرّرت الشركة هذه المشاكل بأنّها تجري بعض التحديثات.
زادت هذه المآخذ على التطبيق من الشكوك حول مدى أمانه، وبعد إعلان السلطة الجديدة عن بدء استخدامه رسمياً لصرف رواتب موظفي القطاع العام، برزت الحاجة إلى التحقق من حقيقة التطبيق. لهذا، أجرى فريق التحليل الجنائيّ في “سمكس” تحليلاً شاملا للتطبيق بعد تحديثه، نشارك نتائجه معكم/ن في هذه المقالة.
هويّة الشركة المطوّرة
لا تتوفّر معلوماتٌ واضحة عبر الإنترنت عن الشركة المسؤولة عن تطوير التطبيق، ما يؤشّر إلى نقصٍ واضح في الشفافيّة. فإذا كانت الشركة مجهولة أو غير مسجّلة، لن يكون هناك وسيلة لمحاسبتها في حال حدوث أيّ مشكلة (حالات خرق للبيانات، أو الاحتيال، أو فقدان الأموال). يترافق ذلك مع غياب شروط الاستخدام وسياسة الخصوصية (الخاصة بالشركة لا التطبيق نفسه)، وعدم وضوح الولاية القانونية، ما يجعل اتخاذ أيّ إجراء قانونيّ عند الحاجة غير ممكن. ونظراً لعدم ارتباط التطبيق بشركة حقيقية، فلا يمكن التحقق من ممارساته الأمنية، مما يزيد من خطر انتقال البرامج الضارة وبرمجيّات التجسس إلى الأجهزة.
من جهة أخرى، وفي ظلّ التعتيم على الجهة التي تملك التطبيق، يفتقر الأخير لأيّ ضمانات بعدم بيع بيانات المستخدمين أو إساءة استخدامها، سواء كانت معلومات شخصية، مالية، أو حتى تاريخ المعاملات المجراة.
تعليقاً على ذلك، تقول عضو فريق التحليل الجنائي في “سمكس”، مادلين بيليسي، إنّ النقطة الرئيسية والأهمّ في التحليل هي أنّ الشركة الأم التي تقف وراء التطبيق غير معروفة، مما يشكّل خطراً كبيراً من الناحية الحقوقيّة، مع عدم وجود أي مسؤولية تجاه المستخدم”.
المعلومات الشخصية
تُعتبر المعاملات الماليّة حسّاسة لأنها تتطلّب جمع قدر كبير من المعلومات الشخصية، وفي حالة “شام كاش”، لا يوجد سياسة واضحة تشرح كيفيّة حفظ البيانات، وهوية الجهة المسؤولة عن حفظها، وأماكن الاحتفاظ بها، واحتماليّة مشاركتها مع أطرافٍ ثالثة مثل الوكالات الحكومية أو المؤسسات المالية الخارجية أو شركات الإحصاءات.
لإنشاء حسابٍ على التطبيق، يُطلب من المستخدمين تقديم معلوماتٍ مثل الاسم الكامل، ورقم الهوية الوطنية، ورقم الحساب البنكي، ومعلومات الاتصال. تعدّ هذه المعلومات ضروريّة للتمكّن من إجراء العمليات الماليّة لدى المؤسسات المالية الشرعية، ولكن المشكلة هي أنّ الموقع الرسمي لـ”شام كاش” والمصادر المرتبطة به لا تكشف عن الجهة التي تجمع البيانات سوى أنّها “شام كاش”، ولا توفر سياسة خصوصية شاملة أو توضيحاً لممارسات جمع البيانات الخاصة بها، إذ أنّ طبيعة البيانات التي يجمعها التطبيق من مستخدميه ليست معلنة بصراحة، ولا يملك المستخدمون معلوماتٍ حول كيفية تخزين بياناتهم أو استخدامها أو مشاركتها.
وفقاً لبيليسي، “فإنّ التطبيق مصمّم بطريقة تضمن انتقال البيانات بطريقة آمنة نسبياً بين الخادم والمستخدم، ولكنه يستخدم نهجاً غامضاً جداً في إطار عمله الداخلي، مما قد يشير إلى احتماليّة أن يكون أداة مراقبة سرية لجمع البيانات واستغلالها، ويسهّل عمليات التجسس المدعومة من الدولة”.
الأذونات وتشفير البيانات
من جهة أخرى، تتحكّم “شام كاش” وحدها بالبيانات المجموعة، كما أنّه يشفّرها عبر “معيار التعمية المتقدم” (AES)، ويتمّ تشفير مفتاح AES نفسه باستخدام خوارزمية (RSA) قبل إرساله إلى الخادم. ونظراً لأنّ الخادم يحتفظ بالمفتاح الخاص (RSA)، فإنه قادر على فك تشفير مفتاح “معيار التعمية المتقدم”، وبالتالي فكّ تشفير بيانات المستخدم والوصول إليها.
يعني هذا باختصار أنّ خادم “شام كاش” لديه إمكانية فكّ تشفير البيانات الوصول إليها في أيّ وقت.
يتطلّب التطبيق إعطاء الإذن لكاميرا الهاتف بحجة التمكّن من مسح رموز QR مثلاً، إلا أنّ ذلك يعطي التطبيق الحق في الاطّلاع على كلّ ما تراه الكاميرا من صورٍ أو مقاطع فيديو. وفي حين لا يعتبر إذن الوصول إلى الكاميرا خطيراً بحدّ ذاته في هذه الحالة، إلا أنّ وجود ثغراتٍ في المستقبلات المصدّرة، المسؤولة عن تنظيم وصول الإشعارات إلى الهاتف، وضعف الضوابط الأمنيّة، قد يجعله خطراً على الخصوصية، إذ يمكن للتطبيقات الضارّة استغلال هذه الثغرات للتلاعب بالكاميرا أو تشغيلها دون موافقة المستخدم، بل وحتى تعديل بيانات الكاميرا أو اعتراضها.
بالإضافة إلى ذلك، لا يملك المستخدمون رؤية واضحة حول ما إذا كان التطبيق يسجّل بيانات الكاميرا أو يخزّنها، مما يثير مخاوف تتعلق بالمراقبة أو إساءة الاستخدام. لذا، ينبغي على المستخدمين منح هذا الإذن فقط أثناء استخدام التطبيق فعلياً، وإلغاؤه بعد ذلك للحفاظ على خصوصيتهم.
للتمكّن من استخدام “شام كاش”، ينبغي إعطاء الإذن بإرسال وتلقّي إشعاراتٍ من الخادم. تعدّ الإشعارات الفوريّة خاصيّة عاديّة، إلا أنّ عدم تأمين المستقبلات المصدّرة في التطبيق بالشكل الصحيح قد يتيح للتطبيقات الضارة إرسال إشعارات مزيّفة، مما قد يخدع المستخدمين ويعرّضهم لهجمات التصيد الاحتيالي أو تنفيذ إجراءات غير مقصودة داخل التطبيق.
ويستطيع تطبيق “شام كاش” من منع الهاتف من الإقفال التلقائي، الأمر الذي قد يُستغلّ لتتبّع نشاط المستخدم ويؤثر على عمر البطارية. ويسمح للتطبيق تلقائياً باستخدام مستشعر البصمة، وتفحّص حال جميع الشبكات، وإنشاء اتصالات عبر الشبكة حتى.
يُعدّ الوصول إلى الإنترنت ضرورياً للمعاملات المالية، كما أن المصادقة البيومترية تعزز الأمان، ولكن، وعلى الرغم من أنّ هذه الأذونات ليست خطرة بحدّ ذاتها، إلا أنّها قد تكون مقلقة إذا كان التطبيق يعمل على تتبّع البيانات، أو جمع التحليلات، أو تنفيذ نشاطات شبكيّة غير مصرّح بها، وبما أن “شام كاش” لا يكشف علناً عن سياساته الخاصة بالتعامل مع البيانات، يجب على المستخدمين توخّي الحذر بشأن طلبات الشبكة التي يجريها التطبيق في الخلفية.
وأخيراً، ظهرت في التحليل أذوناتٌ مجهولة. أولاً، من حقّ المستخدم أن يكون على معرفة تامّة بطبيعة هذه الأذونات وإلى من تُعطى، ثانياً، في حال لم يتمّ تقييد هذه الأذونات بالشكل السليم، قد يُسمح للتطبيق بتلقي البث على مستوى النظام على نطاقٍ واسع (system-wide broadcasts)، والذي يعمل بمثابة غرفة تحكّم تنبّه المستخدم إلى ضرورة إجراء التحديثات أو إعادة التشغيل، مما قد يؤدّي إلى تتبّع المستخدم ونشاطه باستمرار. من جهة أخرى، يستطيع أيّ مهاجمٍ خرق البث من توجيه المستخدم ليقوم بخطواتٍ تساعده على تحقيق أهدافه، مما يشكّل خطراً كبيراً.
الأطراف الثالثة وسياسة الخصوصيّة
الشركة المطوّرة لـ”شام كاش” ما زالت مجهولة، إلّا أنّ معلومات اطّلعت عليها “سمكس” تفيد بأنّ التطبيق تم تطويره من قبل شركة تركية تُدعى “نورث سوفت” (NorthSoft)، وهي متخصّصة بالبرمجة وحلول التكنولوجيا. ومع ذلك، هناك غيابٌ تام لأيّ معلوماتٍ حول أيّ خدماتٍ تقدّمها أطرافٌ ثالثة.
علاوة على ذلك، لا تتماشى شروط استخدام “شام كاش” مع ممارسات الخصوصية السليمة، مما قد يؤدي إلى انتهاك حقوق المستخدمين وتعريض بياناتهم للخطر. يعني ذلك أنّ هناك نوعاً من الغموض الذي يلفّ أيّ عمليات احتياليّة قد تحدث، بالتوازي مع غيابٍ لسياسة خصوصية واضحة، وعدم توفّر معلوماتٍ حول حقوق المستخدم. وتثبت هذه الملاحظات أنّ “شام كاش” تنتهك فعلياً خصوصيّة وحقوق مستخدميها.
لا يستعرض “شام كاش” سياسة خصوصيّة عبر موقعه، بل ينشر تسعة شروط استخدامٍ مختصرة جداً، تخلي بشكلٍ أساسيّ مسؤولية التطبيق عن أيّ عمليات احتيال أو حوادث قد تقع، وتعطي له الحق في إيقاف أيّ حسابٍ دون الرجوع إلى صاحبه. فضلاً عن ما سبق، ينصّ الشرط الأخير على التالي: “نحن نحتفظ بالحق في تغيير أو تعديل هذه الاتفاقية في أي وقت، دون ضرورة إبلاغك وإنما الإعلان عن ذلك بالطريقة التي نراها مناسبة ويعتبر استمرارك في استخدام البرنامج بعد إجراء أي تغييرات أو تعديلات على هذه الاتفاقية قبولاً منك لهذه التغييرات أو التعديلات”.
نال تطبيق “شام كاش” 17 نقطة من أصل 22 في عملية تقييم المخاطر (22 هو الأكثر خطورة) الذي يتّبعه فريق التحليل الجنائي في “سمكس”. وبناءً على ذلك، ومن ناحية تقنيّة، لا يوصي الفريق باستخدام التطبيق، لما يشوبه من ثغراتٍ وضبابيّة تثير مخاوف من انتهاكاتٍ واختراقاتٍ قد تهدّد سلامة المستخدمين/ات وخصوصيّة بياناتهم/ن.
ينبغي على السلطات السورية عدم جعل صرف رواتب موظفي القطاع العام مشروطاً بتحميل التطبيق وتحويله عبره، إلى حين العمل على جعله أكثر أماناً وموثوقيّة لناحية خصوصية بيانات المستخدمين وتشفيرها. بالإضافة إلى ذلك، تتسبّب المشاكل التقنيّة التي يعاني منها التطبيق بحرمان المستخدمين/ات من الوصول إلى أموالهم والتصرّف بها، وعليه، يتعيّن على الجهات المعنيّة التأكّد من اتّسام تطبيق “شام كاش” بالوصوليّة وسهولة الاستخدام. وأخيراً، الشفافيّة أمرٌ لا غنى عنه، ومن حقّ المستخدمين/ات على الحكومة السورية أن يعرفوا هويّة مطوّري التطبيق بالتفصيل، والولاية القانونية عليه، والاطّلاع على سياسة خصوصية وشروط استخدام تحمي حقوقهم/ن، وتفصّل طرق معالجة وحفظ بياناتهم، فضلاً عن هوية الأطراف القادرة على الوصول إليها.
الصورة الرئيسية من AFP.
