متابعات – تفاصيل برس
مع ازدياد الاعتماد على التطبيقات الرقمية في سوريا، خاصة في مجال التحويلات المالية، بدأ تطبيق “ShamCash” يلفت انتباه المستخدمين باعتباره خياراً عملياً وسريعاً، لكن ما يبدو على السطح كحلّ ذكي، يخفي خلفه – كما يبدو – مجموعة من المخاطر التي لا يمكن تجاهلها.
تقرير فني مفصّل صدر قبل أيام عن “المركز السوري للأمن الرقمي” كشف مجموعة من الثغرات الأمنية التي وصفها التقرير بـ”الخطيرة جداً”، واضعاً التطبيق تحت تصنيف “الخطر الشديد”. ليس فقط بسبب ضعف الحماية، بل لغياب المعايير الأساسية للأمان الرقمي، وجمعه معلومات شخصية دون أي ضوابط قانونية واضحة.
خارج المتاجر الرسمية
أبرز ما أشار إليه التقرير، أن التطبيق لا يتوفر عبر المتاجر الرسمية مثل “غوغل بلاي”، ما يعني أنه يتجاوز بشكل كامل إجراءات الفحص والحماية المعتادة التي توفرها تلك المنصات، مثل Google Play Protect، وهذا لوحده كفيل بإثارة القلق.
أما خوادم الإدارة المرتبطة بالتطبيق، فتبين أنها تعتمد أنظمة دخول بدائية يمكن تجاوزها بسهولة، مثل webdisk.shamcash.org وcpanel.shamcash.org. هذا يعني ببساطة أن أي شخص يمتلك القليل من الخبرة التقنية يمكنه الوصول إلى لوحات تحكم حساسة، قد تحتوي على بيانات المستخدمين.
لا سياسة خصوصية
اللافت أكثر أن التطبيق يجمع معلومات شخصية، بينها بيانات هوية ومعلومات بنكية، من دون أن يعرض على المستخدمين سياسة خصوصية توضح كيف تُستخدم هذه البيانات أو من يحتفظ بها.
وبالنظر إلى بيئة رقمية مليئة بالتحديات، هذا الأمر بحد ذاته يشكّل خللاً كبيراً.
شهادات رقمية مشبوهة
تقرير المركز لم يتوقف هنا، بل أشار أيضاً إلى أن شهادات التوقيع الرقمي التي يستخدمها التطبيق منتهية الصلاحية، وصادرة باسم شركة غامضة تُدعى “NorthSoft” لم يُعثر لها على سجل معروف.
كما أن أحد النطاقات المرتبطة بالتطبيق (shamcash.co) استُخدم في عمليات تصيّد إلكتروني، واستضاف محتوى غير متعلق بالخدمة أصلاً.
نسخة التطبيق مصابة
النسخة المتاحة على الإنترنت من تطبيق ShamCash، والتي يبلغ حجمها نحو 60 ميغابايت، تبيّن بعد فحصها من قبل منصات أمن رقمية أنها تحتوي على برمجية خبيثة من نوع “حصان طروادة”، قادرة على تنفيذ أوامر وجمع بيانات من الجهاز بشكل خفي.
وما يزيد الوضع تعقيداً، أن التطبيق – بحسب التقرير – يخالف تعميماً صادراً عن وزارة الاتصالات بتاريخ 10 نيسان 2025، يمنع أي جهة من جمع البيانات الشخصية إلا في حال كانت مستضافة محلياً وحصلت على موافقة حكومية مسبقة.
مطوّرو التطبيق لم يلتزموا بهذا الشرط، ما يضعهم في مواجهة محتملة مع الجهات الرسمية.
في ختام التقرير، أوصى المركز بعدة إجراءات للحد من الأضرار، بينها:
- إدراج التطبيق على متجر غوغل بلاي وتطبيق معايير الأمان المعروفة.
- حماية الخوادم عبر VPN وتفعيل المصادقة الثنائية.
- حذف النطاقات المشتبه بها وإبلاغ الجهات المختصة.
- تطبيق تشفير حقيقي من طرف لطرف، مع الاحتفاظ بالمفاتيح داخل أجهزة المستخدمين.
- تعيين مسؤول لحماية البيانات، وإجراء مراجعات أمنية دورية للبنية التقنية.
في النهاية، ورغم أهمية الرقمنة وتسهيل المعاملات المالية، يذكّر هذا التقرير بأمر بسيط لكنه أساسي: الثقة لا تُبنى بالشعارات، بل بالشفافية والحماية والمسؤولية.
