المركز السوري للأمن الرقمي يحذر من مخاطر جسيمة في تطبيق “ShamCash”
كشف المركز السوري للأمن الرقمي في تقرير تقني موسّع، عن وجود ثغرات أمنية خطيرة في تطبيق “ShamCash”، الذي يُسوّق على أنه منصة للتحويلات المالية الرقمية، بينما يفتقر إلى أبسط معايير الأمان الرقمية ويقوم بجمع بيانات حساسة دون إطار قانوني.
وبحسب التقرير الصادر بتاريخ 20 حزيران/يونيو 2025، صنّف المركز التطبيق في خانة “الخطر الشديد”، محذرًا من خلل كبير في بنيته التحتية، وضعف تشفير البيانات، وسوء إدارة النطاقات، بالإضافة إلى توزيع نسخ تحتوي على برمجيات خبيثة.
أبرز المخاطر التي رصدها التقرير :
-
التطبيق غير متوفر على المتاجر الرسمية مثل Google Play، ما يعني عدم خضوعه لفحوص الأمان القياسية.
-
خوادم ولوحات إدارة مثل
webdisk.shamcash.orgوcpanel.shamcash.orgتعتمد على مصادقة ضعيفة يمكن اختراقها بسهولة. -
لا توجد سياسة خصوصية على الرغم من جمع بيانات حساسة مثل معلومات الهوية والحسابات البنكية.
-
التطبيق يستخدم شهادات توقيع رقمية منتهية الصلاحية صادرة باسم غير معروف هو “NorthSoft”.
-
أحد النطاقات المرتبطة بالتطبيق (
shamcash.co) يُستخدم في هجمات تصيّد إلكتروني، ويستضيف محتوى غير ذي صلة. -
مفاتيح التشفير ورموز المصادقة تُخزَّن في سجلات قابلة للوصول، مما يفتح الباب أمام اختراق الحسابات.
-
نسخة التطبيق المتداولة على شكل APK بحجم 60 ميغابايت تم تصنيفها من قبل منصات متخصصة على أنها “حصان طروادة متقدم”.
-
خرق واضح لتعميم وزارة الاتصالات الصادر في 10 نيسان/أبريل 2025، الذي يحظر جمع البيانات الشخصية دون استضافة محلية وموافقة مسبقة من الجهات الرسمية.
التوصيات الأمنية :
أوصى المركز السوري للأمن الرقمي بعدد من الإجراءات العاجلة لتقليل حجم التهديد:
-
رفع التطبيق إلى متجر “غوغل بلاي” مع تفعيل بروتوكولات الأمان الرسمية.
-
إغلاق الخوادم المكشوفة أو تأمينها باستخدام شبكات VPN ونظام التحقق الثنائي.
-
حذف النطاقات المستخدمة في التصيّد والإبلاغ عنها للجهات المعنية.
-
تطبيق نظام تشفير طرف-إلى-طرف (E2EE)، مع بقاء مفاتيح التشفير ضمن أجهزة المستخدمين فقط.
-
تعيين مسؤول حماية بيانات وإجراء تدقيق دوري للبنية التحتية الأمنية.
وأكد التقرير أن استمرار تشغيل تطبيق “ShamCash” بوضعه الحالي يعرّض المستخدمين لخطر مباشر، وقد يؤدي إلى انتهاكات واسعة للخصوصية المالية والشخصية.
؟
مصدر
