تنويه أمني موسَّع حول تطبيق ShamCash والبنية التحتية المصاحبة
تنويه أمني موسَّع حول تطبيق ShamCash والبنية التحتية المصاحبة
نظرة عامة
يعرض هذا التقرير تحليلاً أمنياً متكاملاً لتطبيق ShamCash والنطاقات المرتبطة به. يوضح التقرير نقاط الضعف التقنية، مخاطر جمع البيانات الحساسة، وإشكاليات البنية التحتية (الخوادم، النطاقات، لوحات الإدارة). تُقدَّم التوصيات بصيغة عملية للمعالجة الفورية وعلى المدى الطويل.
النقاط الحرجة
- التطبيق غير متاح في المتاجر الرسمية، ما يعني عدم مروره بفحوص Google Play Protect أو Apple Review.
- لوحات webdisk.shamcash.org و cpanel.shamcash.org تستخدم Basic Auth ببيانات Base64 يمكن فكّها عند الاعتراض.
- لا توجد هوية مطوّر موثوقة أو شهادات توقيع معتمدة؛ فترة صلاحية الشهادة 27 عاماً بقيمة CN=NorthSoft.
- غياب سياسة خصوصية ؛ جمع بيانات الهوية والحساب البنكي دون إطار قانوني.
- التشفير جزئي: خادم التطبيق يحتفظ بالمفتاح الخاص RSA، ما يتيح فك تشفير جميع رسائل AES.
bank.shamcash.com مستضاف في تركيا عبر ال IP : 38.156.74.43 . ننوه انه في 10 نيسان 2025، أصدرت وزارة الاتصالات وتقانة المعلومات في سوريا تعميمًا واضحًا (الرقم 1474/ص) يمنع أي جهة من تنفيذ أنشطة جمع البيانات الشخصية عبر منصات إلكترونية إلا بإشراف مباشر من الوزارة، وضمن منصات وطنية، وتحت شروط مشددة تشمل استضافة محلية، وموافقة رسمية، ومراجعة فنية وأمنية.
- مستقبِلات إشعارات مُصدَّرة دون حواجز أمان؛ يمكن خطفها لإرسال إشعارات زائفة أو تشغيل الكاميرا.
- Internal server error in multiple API endpoints
- النطاق shamcash.co يوجه إلى محتوى غير ذي صلة، ما يعني وجود تصيّد باسم العلامة، ويُستضاف على 185.132.125.196.
- تم رصد ملف APK بحجم ≈60 MB باسم الشركة وُزِّع في 27-03-2025، رصدته منصة Zenbox كـ«Trojan Evader» وأكّدَت خطورته.
SHA: 0e53eefceb0658f372024a172613b502db6b550718d64f164174cdec54c01a07
التقييم التقني
1. بيانات الملف
البند | القيمة |
|---|---|
اسم الملف | shamcash.apk |
MD5 | c4f4fc0a33098f4a8be1f628905f0dbb |
Min SDK | 21 |
Target SDK | 35 |
حجم الملف | 60 .8 MB |
DEX | classes.dex (MD5 e6fb0cf268e34ca085c397b12e6075eb) – 4 291 فئةclasses2.dex (MD5 e89713e68d6f253a9737caba74c13639) – 602 فئة |
الثغرات الرئيسـية
- تسريب الرموز من خلال C2.a.a#toString() (authToken / refreshToken / firebaseInstallationId).
- كشف المفاتيح في h2.b.b#toString() (keyId / keyType / keyPrefix).
- Intent Spoofing نتيجة قراءة "google.message_id" دون التحقق.
- Race Condition عند طلب صلاحية POST_NOTIFICATIONS باستخدام العلم s.K.
- غياب التعتيم (ProGuard/R8) ما يسهل الهندسة العكسية.
- صلاحيات مجهولة com.shmacash.shamcash.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION؛ قد تسمح بأوامر نظامية غير موثّقة.
البنية التحتية + DNS
- shamcash.co → 185.132.125.196 (3NT Solutions LLP) – محتوى مختلف تماماً.
- webdisk.shamcash.org و cpanel.shamcash.org →142.132.135.97 (Germany) – Basic Auth ضعيف.
- 38.156.74.43 استخدم في معالجة طلبات التطبيق مصدره من تركيا
التوصيات الفورية
- رفع التطبيق إلى Google Play وتفعيل Play App Signing + Play Integrity.
- نشر سياسة خصوصية مفصلة.
- إخفاء جميع الرموز والمفاتيح في السجلات؛ تعطيل سجلات Debug للإصدار الإنتاجي.
- تقييد المستقبلات المصدَّرة بإضافة android:exported="false" أو إذن مخصص.
- إغلاق لوحات cpanel/webdisk أو تأمينها بـ VPN و2FA؛ فرض HTTPS + HSTS.
- الإبلاغ عن النطاق shamcash.co إلى المزوّد لإزالة محتوى التصيّد.
المبادرات طويلة الأمد
- اعتماد تشفير طرف-إلى-طرف حقيقي باستخدام تبادل مفاتيح ECDH؛ المفتاح السري يبقى على الجهاز.
- إجراء اختبار اختراق دوري للتطبيق والخوادم، مع مراقبة تلقائية لمجالات التصيّد.
- تعيين مسؤول حماية بيانات (DPO) وتوثيق جهة اتصال قانونية.
- تدقيق جميع مزوّدي الخدمات السحابية والتحقق من توافقهم مع المعايير التنظيمية.
خلاصة
الثغرات المسجَّلة في تطبيق ShamCash ونطاقاته تمثّل تهديدًا مباشرًا لأمان المستخدمين والبيانات المالية. باتباع التوصيات العاجلة والمبادرات طويلة الأمد المذكورة أعلاه، يمكن خفض مستوى المخاطر بشكل ملموس، تعزيز الامتثال القانوني، واستعادة ثقة المستخدمين.
