-
"شام كاش".. "تحرير الشام" تفرض نظاماً مالياً للرواتب وخبير تقني يكشف ثغرات
-
تعكس صلاحيات التطبيق المثيرة للريبة، مثل الوصول للكاميرا والبيانات البيومترية، مخاطر على خصوصية المستخدمين وأمن معلوماتهم
فرضت الحكومة المؤقتة التابعة لهيئة تحرير الشام في سوريا تطبيق "شام كاش" على الموظفين لاستلام رواتبهم، وسط تحذيرات من مخاطر أمنية وتقنية قد تهدد خصوصية المستخدمين وبياناتهم الشخصية.
وأصدر المكلف بتسيير مصرف سورية المركزي التابع للحكومة المؤقتة التي شكلها أبو محمد الجولاني تعميماً برقم 15/856/ص بتاريخ 30/12/2024، يلزم جميع المؤسسات المالية والمصرفية العاملة في سوريا بإنشاء حسابات على التطبيق عبر الموقع الرسمي shamcash.com، مع منح مهلة يومي عمل لتنفيذ القرار.
وكشف خبير المعلومات دلشاد عثمان في تحليل تقني مفصل على صفحته في فيسبوك، أن التطبيق يطلب صلاحيات مثيرة للقلق، تشمل الوصول إلى كاميرا الهاتف والبيانات البيومترية للمستخدمين والتشغيل في الخلفية، كما يمكنه اكتشاف التطبيقات النشطة على الهاتف، مما يثير مخاوف من إمكانية استخدامه للتجسس.
اقرأ أيضاً: مطالب بفيدرالية السويداء رداً على محاولات السيطرة من "تحرير الشام"
وأوضح الخبير التقني أن ملف التطبيق بحجم 43.91 ميغابايت ويحمل بصمة رقمية محددة، ويستخدم تقنية Flutter في واجهة المستخدم، مشيراً إلى أن التطبيق يمنع الهاتف من الدخول في وضع السكون، مما يعني استمرار عمله في الخلفية حتى عند عدم استخدامه.
ولفت عثمان إلى أن التطبيق مرتبط بخوادم في ولاية هاتاي التركية عبر عنوان IP محدد، ويستخدم خدمة Firebase من غوغل للتواصل مع السيرفر الخاص بالشركة، محذراً من وجود ثغرة أمنية في المنفذ 1433 الخاص بـ Microsoft SQL Server.
وأثار غموض ملكية التطبيق وإدارته تساؤلات عديدة، إذ تم تسجيل نطاق الموقع في يوليو 2023 مع إخفاء هوية المسجل، كما لا يحتوي الموقع على أي معلومات عن الشركة المالكة أو عنوانها، ويقتصر التواصل على منصة التلغرام وأرقام هواتف أوروبية.
وذكر عثمان أن شركة "NorthSoft" قد تكون المطورة للتطبيق وفقاً للشهادة الرقمية المضمنة في الكود، مشيراً إلى أن التطبيق غير متوفر على متجر غوغل، ويتطلب تثبيته مباشرة على الهواتف التي تعمل بنظام أندرويد فقط، مما يزيد المخاوف الأمنية.
ويطلب التطبيق عدة أذونات من المستخدمين تشمل: إشعارات النظام، استخدام الكاميرا، البصمات والقياسات الحيوية، الاتصال بالإنترنت، الوصول إلى حالة الشبكة، منع وضع السكون.
ونصح الخبير التقني المستخدمين بعدم تثبيت التطبيق في حال عدم الثقة بالمؤسسات المالية التابعة لحكومة الإنقاذ، مؤكداً أن المشكلة الرئيسية ليست تقنية بل تتعلق بمحاولات فرض مؤسسات معينة على المواطنين.
وتأتي هذه التطورات بعد نحو شهر من سيطرة "إدارة العمليات العسكرية" بقيادة أبو محمد الجولاني على دمشق في الثامن من ديسمبر 2024، وفرار رأس النظام السوري السابق بشار الأسد، في وقت تتعالى فيه الأصوات المطالبة بتطبيق نظام فيدرالي يضمن الشفافية المالية وحماية خصوصية المواطنين وحقوقهم الرقمية.
ليفانت-متابعة
