گواهی امنیت نامعتبر یک اپراتور تلفن همراه

به گزارش واحد امنیت سایبربان؛ اپراتورهای ارتباطی سیار با انتشار گزارشی در زمینه عدم وجود گواهی امنیت دیجیتال برای سایت‌هایشان سریعاً به سمت اصلاح و تمدید اعتبار گواهی‌های خود رفتند اما گواهی SSL یک اپراتور موبایل در بخش ترابردپذیری همچنان نامعتبر و غیرایمن است.
بیش از یک ماه از انتشار گزارشی پیرامون ناامنی سایت اپراتورها با رویکرد عدم وجود پشتیبانی از پروتکل SSL در صفحه مربوط به ترابرد مشترکان می‌گذرد که دو اپراتور ارتباطی نسبت به رفع این معضل برآمده اما تنها یک اپراتور اقدامی انجام نداده است.
حساسیت نسبت به وجود این پروتکل امنیتی در سایت اپراتورها بعد از جلسه شورای عالی فضای مجازی و تأکید بر صیانت از اطلاعات و حریم خصوصی مشترکان اپراتورهای تلفن همراه و برخورد قانونی با هرگونه سوءاستفاده در این حوزه، بیش‌ازپیش شد.
اعضای شورای مذکور بر اتخاذ تدابیر ویژه‌ای در حوزه حفاظت از حریم خصوصی برای جلوگیری از هرگونه دسترسی غیرمجاز تأکید داشتند.
یکی از متداول‌ترین روش‌های حفاظت از اطلاعات در سطوح فردی یا سطوح بالای ملی، رمز کردن اطلاعات است بطوریکه دستیابی به اطلاعات رمز شده برای افراد غیر‌مجاز امکان‌پذیر نبوده و تنها افرادیکه دارای کلید رمز باشند بتوانند محتوای رمز را بازگشایی کنند.
برای امن سازی این ارتباطات به پروتکل SSL نیاز است که به بیان ساده یک پروتکل استاندارد امنیتی بر پایه رمزنگاری اطلاعات به‌حساب می‌آید.
در این پروتکل داده‌های تبادل شده بین سرویس‌دهنده Server و سرویس‌گیرنده Client توسط کلیدهای خصوصی و عمومی رمزنگاری Encrypt شده و در سمت دیگر رمزگشایی Decrypt می‌شود، امنیت در این پروتکل دوطرفه است یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.
بااین‌حال همراه اول و ایرانسل بعد از کشف این ضعف امنیتی در سایت خود و مخصوصاً در بخش ترابرد مشترکان که با اطلاعات هویتی سروکار دارد سریعاً به سمت رفع این چالش رفتند و گواهی‌های خود را برای این بخش مستقر و به‌روزرسانی کردند.
اما گواهی امنیتی اپراتور سوم همچنان در مرورگرهای پرکاربردی نظیر کروم منقضی هست و هیچ تضمینی بر حفاظت از اطلاعات واردشده توسط مشترکان در بخش ترابرد نمی‌دهد.
اپراتورهای اول و دوم ارتباطی بالاترین سطح گواهی‌های امنیتی را روی درگاه‌های خود نصب و نماد سبزرنگ به نشانه تأیید را به ترتیب از شرکت‌های ترک‌تر است و یونیزتو دریافت کرده‌اند.
اعتبار گواهی‌های امنیت همراه اول و ایرانسل به ترتیب تا 23 دسامبر 2016 و 6 سپتامبر 2017 است.
رایتل هم علی‌رغم داشتن گواهی SSL از KEYNECTIS تا ژوئن 2017 توسط مرورگر کروم ایمن شناخته نمی‌شود.
کروم درحالی‌که در بخش دیدگاه امنیتی سایت این اپراتور به‌صراحت می‌گوید broken HTTPS و نماد قرمزرنگی را به نشانه هشدار نمایش می‌دهد، همچنین می‌گوید:
This site uses a weak security configuration (SHA-1 Signatures), so your connection may not be private.
احتمال می‌رود این گواهی به دلیل غیرمجاز بودن یا داشتن ایراد فنی در شیوه نصب مورد تأیید مرورگر مذکور قرار نگرفته است.
امید می‌رود این اپراتور هم در رقابت با دیگران، هرچه سریع‌تر با بهره‌مندی از گواهی امنیت دیجیتال معتبر خیال مشترکان خود و کسانی که متقاضی ورود به این اپراتور هستند را راحت کند.