احتمال سرقت اطلاعات کارت و رمز عبور هزاران کاربر ایرانی توسط کافه بازار

خب عنوان به اندازه‌ی کافی گویا هست ، قبل از اینکه بخوام توضیح بیشتری در این مورد بدم یه مقدار توضیح در مورد پرداخت های آنلاین بانکی توی ایران میدم :

در حال حاضر تمام پرداخت های اینترنتی باید از طریق شاپرک انجام بشه و درگاه پرداخت تمام بانک ها باید روی زیردامنه‌ ای از shaparak.ir باشه مثلا :

bpm.shaparak.ir برای درگاه پرداخت بانک ملت و sep.shaparak.ir برای بانک سامان.

ابتدای آدرس همیشه باید به شکل https باشه و گواهینامه‌ی ssl هم در حال حاضر توسط:

TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Kasım تایید شده .

توضیحات بیشتر در مورد امنیت پرداخت رو میتونید توی این صفحه روی سایت خود شاپرک بخونید.

توی موبایل هم قضیه دقیقا از همین قرار باید باشه ، یعنی اگر نیاز باشه شما مبلغی رو آنلاین پرداخت کنید، باید با استفاده از اپلیکیشن موبایل ، درگاه پرداخت توی مرورگر خود موبایل باز بشه و کاربر بتونه مورادی که گفتم رو تایید کنه و بعد از انجام پرداخت ،  مجددا به اپلیکیشن موبایل هدایت بشید و ادامه‌ی خریدتون انجام بشه. این روند هرگز نباید تغییری بکنه در هر روند دیگری غیر از این روند احتمال سرقت اطلاعات کارت کاربر وجود داره.

خب برگردیم به اپلیکیشن کافه بازار ، توی این اپلیکیشن چه اتفاقی داره میافته؟ فرض کنید بخوایم یک نرم افزار رو توی بازار خریداری کنیم یا به اعتبار خودمون مبلغی رو اضافه کنیم . صفحه ای که پیش روی ما قرار میگیره به این شکل هست :

بانک سامان :

samanبانک ملت :
mellat

همونطوری که میبینید صفحه‌ی پرداخت به طور مستقیم توی اپلیکیشن بازار باز شده و کاربر نمیتونه آدرس بانک و گواهینامه SSL رو ببینه و تایید کنه . توی این حالت چند تا سناریو محتمل هست :

  1. اولین حالت این هست که گواهینامه درسته آدرس هم درسته و پرداخت به شکل امن انجام میشه این حالتی هست که هم من دوست دارم هم شما
  2. حالت دوم حالتی هست که یک خدمت دهنده‌ی اینترنت (ISP) میتونه صفحه‌ی پرداخت بانک رو شبیه سازی کنه یعنی صفحه ای که شما میبینید و اطلاعاتتون رو توش میزنید واقعا صفحه‌ی بانک نباشه . دقت کنید که برای اینکار همیشه نیاز نیست که یک ISP واقعی پشت قضیه باشه ممکنه حتی رییس شرکتتون باشه یا همسایه ای که ازش اینترنت رو میگیرید. نتیجه اینکه چون شما نمیتونید صحت گواهینامه‌ی ssl رو بررسی و تایید کنید (به دلیل اینکه صفحه توی مرورگر گوشی باز نشده) پس اطلاعاتتون رو دارید به شخص واسطی تقدیم میکنید. اون شخص واسط میتونه برای اینکه به راحتی شناخته نشه بعد از اینکه تمام اطلاعات کارت شما از جمله رمز دوم و cvv2 رو ذخیره کرد واقعا عملیات پرداخت رو پشت پرده انجام بده و نتیجه‌ی صحیح رو برگردونه و مثلا یک ماه یا یک سال بعد از کارت شما سو استفاده کنه . توی این قضیه نه شما متوجه سرقت اطلاعات میشید نه اپلیکیشن موبایل.
  3. حالت آخر و خطرناک ترین حالت حالتی هست که خود اپلیکیشن کافه بازار به شما یک صفحه‌ی تقلبی از بانک نشون بده ، شما متوجه این موضوع نمیشید چون توی مرورگر گوشیتون باز نشده ، اطلاعاتتون رو وارد میکنید ، برنامه اطلاعات رو به سرور مرکزی کافه بازار میفرسته ، اطلاعات اونجا ذخیر میشن و روی سرور به شکل ماشینی عملیات پرداخت با درگاه واقعی و با اطلاعات شما انجام میشه و نتیجه به اپلیکیشن برمیگرده. توی این حالت بازار میتونه به راحتی تمام اطلاعات مربوط به کارت های تمام کاربرانی رو که حداقل یک بار ازش خرید کردن یا به اعتبارشون اضافه کردن رو ذخیره کنه و هر زمان که خواست هرکاری خواست باهاشون بکنه.

همونطور که دیدید حالات دوم و سوم بالقوه یک مشکل امنیتی بسیار مهم به حساب میاد، به چند تا نکته باید این وسط اشاره کرد :

  • یک کاربر معمولی باید روش های صحیح پرداخت آنلاین توی کشورش رو بدونه و به یک اپلیکیشن موبایل صرفا با خاطر نامش اطمینان نکنه
  • همه‌ی ما امیدوار هستیم که دست اندرکاران این اپلیکیشن آدم های شریفی باشند و از این کارهای بد نکنند
  • شما هرگز نمیتونید بفهمید یک نرم افزار غیرآزاد دقیقا داره چیکار میکنه . اگر بازار به شکل آزاد منتشر شده بود و خود شما میتونستید فایل apk رو از روی کد منبع بسازید میتونستید مطمئن بشید که خود اپلیکیشن اطلاعات تون رو سرقت نمیکنه ولی سناریوی دوم همچنان به قوت خودش باقی بود. این قضیه درمورد تمامی نرم افزارهای غیر آزاد صدق میکنه و برای همین هست که کاربران باید تا جای ممکن از هیچ نرم افزار غیرآزادی استفاده نکنن
  • اون به راحتی که اون بالا ‌Bold کردم واقعا همون معنی رو میده . یعنی هرکسی با یه دانش متوسط توی اندروید و داشتن سورس برنامه میتونه ظرف کمتر از ۱۰ ساعت کاری برنامه رو به شکل سناریوی خطرناک شماره‌ی ۳ در بیاره از جمله خود من
  • بانک مرکزی و شاپرک هیچ گونه نظارتی روی این قضایا ندارن ، همونطور که میدونید اپلیکیشن بازار یک اپلیکیشن محبوب توی ایران هست و کاربران خیلی زیادی هم داره اینکه چرا هیچ هشداری در این مورد داده نشده با توجه به اینکه حداقل یکی دو سال هست که این اپلیکیشن داره به همین شکل کار میکنه جای بحث خیلی خیلی زیادی داره.

نتیجه‌ی کلی ای هم که میشه از این متن گرفت اینه که در حال حاضر خرید از طریق اپلیکیشن موبایل کافه بازار فرق خاصی با اینکه مشخصات و رمز کارتتون رو به ایمیل من ارسال کنید نداره ولی خب خرید از طریق وب سایتشون مشکلی در برنداره چون میتونید تمام موارد امنیتی رو بررسی کنید و خیالتون راحت باشه

58 دیدگاه در “احتمال سرقت اطلاعات کارت و رمز عبور هزاران کاربر ایرانی توسط کافه بازار

  1. درود
    به نکته جالب و مهمی اشاره کردید،ممنون. دوست عزیز
    اتفاقا من چند روز بود که موقع دریافت و بروزرسانی برنامه ها از طریق بازار یه حس بدی داشتم ،( نمیدونم چرا همینطوری الکی)امروز یه برنامه متر نظرم جلب کرد و برنامه نصب کردم که متوجه شدم نسخه نهایی برنامه پولیه تصمیم گرفتم بخرم(برای اولین بار بود قصد خرید داشتم)وقتی به صفحه مورد نظر رفتم همین نکته ای که اشاره کردید به نظرم عجیب اومد که چرا باید با واسطه به درگاه بانک متصل بشیم و از خرید صرف نظر کردم.منهم امیدوارم که گردانندگان کافه بازار انسانهای شریفی باشند و البته که همینطور است.ولی از قدیم گفتن که آدمی شیر خام خورده است باز هم تکرار میکنم که این در مورد عوامل کافه بازار صدق نمیکند ولی باز هم قدما میگویند احتیاط شرط عقل است .نکته دیگه ای که به نظرم مهمه صرف نظر از مسئله خرید آنلاین .دانلود و نصب برنامه است .وقتی ما برنامه ای را نصب میکنیم وقتی در لیست بعضا بلند و بالا مجوز دسترسی یه نگاه بندازیم میبینیم که ما خیلی ساده اجازه دسترسی به حساس ترین بخشهای گوشی رو به برنامه میدهیم دسترسی به بخشهایی که در بعضی موارد اصلا ربطی به اون برنامه نداره انگار که درب خونه مونو باز بزاریم!!!

    • حق کاملا با شماست اما مساله‌ی قابل توجه دیگه اینه که همین الان هم کاربران در سطح کلان اجازه‌ی دسترسی به داده های حساسشون رو به کمپانی های بزرگ و کوچیکی از جمله گوگل به راحتی میدهند که خطرات این قضیه که بسیار هم جدی است و در آینده حتما خودش رو بیشتر نشون میده

  2. من کافه بازار استفاده نمیکنم. و این موضوعی که شما میگید احتمال وقوعش هست. البته برای اپلیکشن‌های کوچیک نه کافه بازار.
    اما توی سناریو خرید از «کافه‌بازار» تنها چیزی که من نتونستم راه کاری برای اون پیدا کنم موضوع کپچا بود. با توجه به حجم تراکنش‌های کافه بازار فکر نکنم بشه با عامل انسانی این کپچا رو دور زد. یعنی مثل سناریو زیر :

    ۱- من اَپ رو باز میکنم
    ۲- میرم افزایش موجودی
    ۳- مبلغ رو وارد میکنم و منتقل میشم به صفحه پرداخت
    ۴- پرداخت رو انجام میدم
    ۵- چند لحظه بعد با پیغام تایید پرداخت به اَپ برمیگردم

    در مرحله ۴ اگر قرار باشه سرقتی اتفاق بیوفته، باید یک عامل انسانی بعد از دریافت اطلاعات من پرداخت رو انجام بده و به اصطلاح پیغام OK رو برای من ارسال کنه. همون طوری هم که در بالا گفتم با توجه به حجم بالای تراکنتش‌های کافه بازار این مورد بعید هست.

    اما وقتی GooglePlay هست چه دلیلی داره برم و از کافه بازار استفاده کنم؟
    مگر اینکه بخوام ببینم «سنگ قبرم» چه شکلی میشه

    • عامل کپچا اصلا عامل به اصطلاح blocker ای نیست ، یه نگاهی به کپچای احمقانه‌ی بانک ملت بنداز ، کدوم برنامه نویسیه که نتونه با ابزاری مثل Tesseract رد کنه اون رو ؟ قسمت پرداخت موبایلی بانک سامان هم کپچا نداره کلا .
      پس احتمال کاملا به قوت خودش باقی هست . ولی اینجا ما قرار نیست ثابت کنیم که بازار این کار رو میکنه یا نمیکنه هدف اینه که به کاربرها هشدار بدیم که مراقب نکات خیلی ساده باشن

    • درود دوست عزیز
      پیام جان سنگ قبر،خوب اومدی!صرف نظر از هزینه ،اینکه یک نفر وقت با ارزش خودشو صرف ساخت همچین برنامه هایی میکنه جای تعجب و تاسف آوره!!از این جور برنامه ها تو بازار پر شده متاسفانه،برنامه هایی مثل دعا برای بازگشایی بخت دختر،باطل کردن سحر ،جادو و…غم انگیز تر اینه که این مسائل در عمق تکنولوژی داره اتفاق می افته!!برنامه ها و گیمهای کاربردی که همون برنامه های گوگل پلی هستش الباقی برنامه ها یا شبیه سازیه یا بی محتوا مثل همین مواردی که ذکر کردم
      سپاس فراوان

  3. در مورد دوم، ما برای انتقال اطلاعات برنامهٔ خریده‌شده و توکن خرید به سرورهای خودمون از https استفاده می‌کنیم:
    https://pardakht.cafebazaar.ir

    در مورد سوم حق با شماست. یعنی بالقوه این امکان از طرف ما وجود دارد. البته نظارت‌هایی بالا سرمون وجود داره. با درگاه‌ها به طور مستقیم در تماسیم و نماد الکترونیکی هم چک‌های استانداردش را در مورد ما انجام داده است.

    انگیزهٔ اصلیمون برای اینکه عملیات پرداخت را درون خود بازار انجام می‌دهیم پردخت USSD هست. متأسفانه API ای که در دستمان بود امکان پوش به مرورگر را نمی‌داد و لذا مجبور بودیم به کمک pull کردن مداوم و استفاده از Javascript Interface[1]‎ با کد جاوامون در تعامل باشیم که از انجام پرداخت مطلع شویم.

    از بخش بیزینسی شرکت می‌پرسم در این باب آیا کامنتی دارن اینجا بنویسم و یا برنامه‌ای برای تغییرش دارند. از آن زمان تا الان چند درگاه دیگه هم اقدام به ارائهٔ USSD کرده و ممکنه یکیشون api ای ارائه بدهد که کارمان را از همان مرورگر راه بیندازد.

    [۱]: http://developer.android.com/guide/webapps/webview.html#BindingJavaScript

    • احتمالا منظور من رو از مورد دوم متوجه نشدید . چون بخشی از اون مورد به شما و اپلیکیشن شما مربوط نیست و بخش دیگرش هم به کاربر مربوط هست که نمیتونه آدرس و گواهینامه رو وریفای کنه .
      رابطه‌ی بین ussd و پرداخت آنلاین رو متوجه نشدم . اما خود پرداخت آنلاین رو من قبلا به این شکل توی یک اپلیکیشن اندروید پیاده کردم :

      یک آدرس مخصوص خرید باید از توی نرم افزار اندروید و توی براوزر گوشی فراخونده بشه ، مثلا :
      http://host/userId/AppID/buy/
      که بعد از باز شدن باید بلافاصله به بانک ریدایرکت بشه ، پس از خرید کامل وقتی که کاربر از طرف بانک به صفحه‌ی مربوط در سایت اصلی برگردونده میشه . اون صفحه باید شامل یه تگ a
      باشه که توی href ش وضعیت مربوط به پرداخت + شناسه‌ی اپلیکیشن و name space بازار وجود داشته باشه ، مثلا :
      abazaar://cafe/status/1/id/2342342343
      که این لینک توسط javascript یا کاربر کلیک میشه و باعث میشه شناسه‌ی اپلیکیشن و وضعیت پرداخت به نرم افزار برگردونده بشه ، توجه کنید که باید فیلتر مربوط توی manifest به این شکل ساخته بشه :
      data android:host=”cafe” android:scheme=”bazaar”
      البته این توضیحات برای تیم شما توضیح واضحات هست ولی گفتم شاید باقی دوستان بخوان استفاده کنن . از توجه تون و از اینکه وجود مشکل رو پذیرفتید ممنونم

      • آهان. در مورد اون بخشیش که در بازار اتفاق می‌افته، اون WebView ای که داخل کد هست اگر با https غیر ولید روبرو شه خطایی با چنین متنی می‌ده:

        «در ارتباط رمز شدهٔ بین دستگاه شما و کارگزار ایرادی وجود دارد. این احتمال وجود دارد که کسی در شبکهٔ ارتباطی شما اختلال ایجاد کرده باشد. لطفاً این مشکل را از طریق بخش پشتیبانی پیگیری کنید.»

        در مورد پرداخت آنلاین، در کنار هم قرار گرفتن پرداخت به کمک ussd و پرداخت آنلاین از سمت مدیر محصول بوده که می‌خواسته تجربهٔ کاربری این دو عمل مشابه باشند. ولی همانطور که گفتید این ایراد بر ما وارد می‌شه. توضیح فنی موضوع رو به بچه‌های بیزینسی منتقل می‌کنم. البته احتمال می‌دم از کلیات این ماجرا آگاه بودن و در سبک سنگینی که بین تجربهٔ کاربری روان‌تر و مسئولیت کمتر مطرح بوده، نهایتاً تصمیم گرفته باشند این مسئولیت رو بپذیرند. در هر صورت سعی می‌کنم ابعاد کامل این مسئولیت رو بهشون منتقل کنم.

        ممنون از توضیحات کاملتون.

        • از پیگیری تون ممنونم ولی خب هدف من گوشزد کردن مسئولیت به دست اندرکاران بازار نبود ، هدف من این بود که کاربران رو با موارد خیلی ساده‌ی امنیتی که در نظر نگرفتنشون میتونه آسیب جدی بهشون وارد کنه آشنا کنم و از طرفی هم بازرسی و نظارت بانک مرکزی و شاپرک رو زیر سوال ببرم ولی اگر در نهایت باعث بشه که اپلیکیشن بازار هم اصلاح بشه خوشحال میشم

          • شاپرک یه کاری کرده که دیگه استفاده از مرورگر برامون مقدور نخواهد بود. گویا سرتیفیکیت رو شاپرک می‌خره می‌ده به درگاه‌ها، و سرتیفیکیت قبلی خیلی از درگاه‌ها تا چند روز دیگر منقضی می‌شه. سرتیفیکت جدیده هم تو خیلی از اندرویدها، نسبتاً قدیمی‌ها ولی خب کم نیستن، ثبت نیست. مجبوریم سرتیفیکیته رو در خود بازار اضافه کنیم.

          • حرفتون درسته در مورد گواهینامه هایی که شاپرک صادر میکنه و غیره اما همچنان اشتباه بودن ، غیر استاندارد بودن و غیر عقلانی بودن این کار رو توجیه نمیکنه . درست این هست که کاربر خودش گواهینامه ها رو روی گوشی خودش به روز نگه داره و اگر هم نگه نداشت یه اخطار بگیره . اینکه اخطار رو ignore کنه و بانک رو ببینه واقعا فرقی با اینکه به این شکل توی بازار امبد شده باشه نداره (از جنبه‌ی امنیتی) . من هدفم این بود که کاربران رو تا حدودی با مباحث اولیه‌ی مربوط به پرداخت آنلاین و شیوه‌ی امن نگه دانش آشنا کنم و یاد آوری کنم که بانک مرکزی و شاپرک نظارتی رو اونطوری که باید توی این سیستم داشته باشند ندارند وگرنه که هرکسی کارش رو به نحوی توجیه میکنه و کسی هم قرار نیست موظف به پاسخ دادن به من وبلاگ نویس باشه . از حسن نیت تون ممنونم

        • خیلی پیچیده نیست. فقط کافیه مرورگر رو باز کنی برای کاربر به جای اینکه از webview داخلی استفاده کنی. اگه باز نتونستی بگو تا کد بفرستم برات

    • موضوع آزاردهنده این هست که کافه بازار ذاتاً باید الگویی برای همکارانش (برنامه نویس ها) باشه و اصولاً در هر سطحی که هستیم باید از اصول یکسانی پیروی کنیم.
      من برای برنامه ی اندرویدی که منتشر کردیم و همانند کافه بازار سعی داریم که بیزنسی بابت خدماتی که ارائه میدیم داشته باشیم (مسلماً در مقیاسی بسیار کوچکتر)، با انواع درگاه های بانکی کار کردم.
      من مشخصاً بدون اینکه توصیه ی از جانب مرجعی دریافت بشه، روش مرورگر رو انتخاب کردم، چون این اطمینان خاطر بسیار مهم تر از UX هست، گرچه تعدادی از کاربرهای کم تجربه تر رو از برنامه دور میکنه، اما همانند کدی که آقای بیگی اشاره کردن با انتقال اطلاعات به اپلیکیشن سعی کردیم این پروسه رو بهتر کنیم.

      در مورد USSD هم گرچه از بعد فنی این امکان بوجود اومد که ارتباطی بین نتیجه ی USSD و اپلیکیشن برقرار کنیم، اما بخاطر امکان شنود اطلاعات که بصورت بالقوه بهش دسترسی پیدا می کنیم، از پیاده سازی صرفنظر کردیم و امنیت اطلاعات کاربر (با اینکه مشخصاً قصدی برای سوءاستفاده از اون نداریم) رو بالاتر دیدیم.

      اگر خود کافه بازار هم این موارد رو رعایت میکرد بسیار بهتر می بود، چون به هرحال کافه بازار همیشه کنترلی رو روی برنامه های منتشر شده داره و از بعنوان یک برنامه نویس توقع دارم این موارد رو در وهله ی اول خود کافه بازار رعایت کنه.

      در مورد بعد فنی ای که منجر به پیاده سازی پرداخت در WebView شده، مشخصاً این امکان وجود داره که همه ی اون اتفاقات در خود مرورگر اتفاق بیافته و در نهایت باز هم اطلاعات رو به اپلیکیشن منتقل کنید. درواقع مشخصاً اینجا UX اولویت پیدا کرده، و بعد فنی محدودیت اصلی نیست.

  4. به نکته خوبی اشاره کردی، خیلی چیزای ساده مشابه هست که به سادگی از کنارشون رد می‌شیم و بی خیالشون می‌شیم. البته فشار و توجه کاربران می‌تونه کمک به بهتر شدن این جور چیزا بکنه.

    نکته دوم این که: اَپ بازار نصب می‌کنی؟ اون هم از نوع paid user؟

  5. یه نکته جالب این بود که ، بنده یه روز دقیقا بعد از اینکه وایبر رو از Google Play آپدیت کردم ، رفتم بازار و دیدم یه آپدیت ــه جلوتر از خود ــه Google Play داره :[

    • پکت ها اگه رمزنگاری شده باشن همه چیز سخت میشه ، ولی خب میشه بررسی کرد که آیا ارتباطی با بانک برقرار میشه یا نه . به هر حال
      هدف متهم کردن بازار نبود ، هدف این بود که نشون بدم بالقوه احتمال این کار وجود داره و کاربرها باید مطلع باشن

  6. سوال:
    آیا حتی با باز شدن صفحه مرورگر به صورت مجزا، برنامه مادر ( صدا زننده مرورگر) امکان تصویر برداری از صفحه گوشی + دریافت لمس های کاربر + اعداد وارد شده توسط کیبورد رو ندارد؟
    اگر دستگاه روت شده باشد چطور؟

    • اگر این امکانات توی دسترسی های نرم افزار نباشه صرف صدا کردن مرورگر چیزی رو عوض نمیکنه ، دریافت اعداد وارد شده توسط کیبرد فکر کنم در انحصار خود برنامه‌ی کیبرد و برنامه‌ی استفاده کننده که در اینجا مرورگر هست باشه . در مورد اینکه روت کردن گوشی چه تاثیری توی این موارد داره اطلاعات کافی ندارم

  7. اگر یک کامپوننت دیگری برای نمایش صفحات وب جایگزین کامپوننت کنونی بازار شود که آدرس بانک و اطلاعات امنیتی مربوط به پروتکل https رو مانند برنامه مرورگر نشون بده میشه اطمینان حاصل کرد؟
    درجه اهمیت تهدیدات گفته شده در پست قبلی چقدره تو این حالت؟

  8. با سپاس از دوست گرامی جناب بیگی یه سوال دیگه هم داشتم، تا امروز شما از بانک ایرانی دیدید که اجازه بده با رمز اول و تنها با شماره کارت خرید انجام شه؟
    دستگاه های کارت خوان متصل به سیستم های فروشگاهی که در خارج موجود هست رو میشه در ایران استفاده کرد؟ ینی یک برنامه میانی باشه که توسط دستگاه مشخصات کارت رو بگیره و رمز اول هم توسط برنامه وارد شه و عملیات رو در بانک انجام بده؟
    واضحه که اون برنامه میانی رو حتما بانک باید تولید کرده باشه، صرفا یک برنامه امن باشه که بتونه از عکس بردای صفحه نمایش جلو گیری کنه، و هر بار دکمه های رمز رو نا منظم بچینه ( که اگر حتی لمس های روی نمایشگر هم ذخیره شوند اطلاعات اون ناقص باشه)
    (فرض کنین که اطلاعات کارت با یه دستگاه جانبی متصل به موبایل تا تبلت امکان خواندن کارت های مغناطیسی رو داشته باشه)

    • در مورد اول من بانکی رو نمیشناسم ، در مورد دستگاه های کارتخوان خارجی ، بعید میدونم توی ایران قابل استفاده باشن

    • بله، من مستندات مربوط به API یکی از شرکت ها (می دونید که الان شرکت ها برای ارائه ی درگاه پرداخت با بانک مرکزی کار می کنن و نه لزوماً بانک ها، مثلاً به پرداخت ملت یا سداد یا سپ… – که اینها هرکدوم تحت نظارت یک بانک هستن اما شرکتی مجزا)، رو بررسی میکردم و توسط اون API میتونستم شماره کارت و رمز دوم رو برای وب سرویس بفرستم و نتیجه رو دریافت کنم. البته از اون API استفاده نکردم و در قرارداد هم استفاده از اون API نیست، اما دارم اشاره می کنم که وجود داره و مستنداتش و نمونه کدهاش رو من بررسی کردم.

      یعنی در عمل من با داشتن شماره کارت و رمز دوم شما، از طریق این API ها میتونم از جانب شما خرید رو انجام بدم و نتیجه رو با فرمت دلخوام به شما نمایش بدم.

      • بله . یکی از دوستان هم قبلا توی مطلبی جداگونه به این قضیه اشاره کرده بود که cvv و تاریخ انقضا واقعا برای خرید نیاز نیستن

  9. سلام
    یعنی نظر شما اینه که کافه بازار داره با نمایش صفحه تقلبی بانک ها اطلاعات کاربرانش رو هک می کنه و بانک هایی مثل سامان و ملت ساکت نشستند ؟؟؟؟؟؟

    • نه اصلا . نظر من اینه که کافه بازار بالقوه میتونه این کار رو انجام بده و نباید این امکان وجود داشته باشه به هر شکل

  10. چقدر خوب شد که بلاخره یک آدم باهوش به این نکته اشاره کرد
    من این برنامه رو نصب نکردم ولی وقتی میبینم که این نرم افزار روی تبلت اعضای خانواده ام نصب هست و وقتی بهشون میگم که معلوم نیست این برنامه هدف دیگه ای رو غیر از تسهیل در نصب و پرداخت داره یا نه و پاکش کنید با مقاومت روبرو میشم همیشه نگرانم که الان چه اطلاعاتی را ممکنه کافه بازار در اختیارش بگیره یک مقدار در مورد موسسین و کارهاشون بررسی کردم!!
    بعد از کلی سرچ به یک سایتی رسیدم که گویا دوستان خودشونو در قالب یک شرکت معرفی کردن http://zeerak.ir/
    حسام میرآرمندهی-مدیرعامل
    سروش رادپور-رئیس هیئت مدیره
    رضا محمدی-مدیر فناوری
    خوب حالا بریم یک سری فرضیه سازی هارو برای سرچ بهتر بکنیم اصولا گروهی که یک پروژه مشترک رو استارت میزنن و بخوان شرکتی را ثبت کنن کسی که طرح تجاری و پایه های پروژه رو ریخته باشه نقش مدیریت عامل را بازی خواهد کرد
    یک مصاحبه با نفر اول گروه اینجاست : http://ow.ly/KkPPm
    کسی که در دانشکده کارآفرینی دانشگاه چالمرز درس خونده و مباحث مارکتینگ و اینکه هرچقدر بیشتر دیتا از مشتریتون داشته باشید فروش هدفمندتری خواهید را حتما توضیح دادن بهشون
    خوب حالا کیوردمون اسم مدیر عامل هم اضافه میکنم بعلاوه یکسری کلمات که معنی خراب کاری و جاسوسی و سرقت اطلاعات و اینارو بده
    به یک مطلب جالب میرسم : http://vmasoomi-blog.blogreader.ir/page-197748.html
    (متاسفانه لینک مبداء به هر دلیلی پاک شده و فقط آرشیو شده آنرا میشه اینجا دید)
    !! خوب قضیه جالب شد یکی اومده یک همچین ادعایی کرده رفتم ببینم این کیه دیدم گفته دانشجوی شریف هست ، خوب دو احتمال وجود داره یا این موفقیت همکلاسیاشو نتونسته تحمل کنه و خواسته تخریبشون کنه یا بواسطه شناخت و تحلیلی که از نرم افزار و گروه و سیستم کاریشون داشته این نکاتی که گفته صحیح است خوب ما میگیم ان شاء الله گزینه یک درسته بریم ادامه تحقیق
    یک پروژه دیگه بنام عدد خوب بریم یک نگاهی به حریم شخصی بندازیم http://adad.ir/privacy/
    خوب اینم انگار یک پروژه ای است خیلی به اطلاعات کاربران علاقه داره ، گفتن که آگهی های ما هوشمندانست و به تارگت ها ارسال میشن خوب پس باید یک سری اطلاعات را داشته باشن که بدونن کدوم آگهی را به کدام کاربر نشون بدن خوب ببینیم چی گفته : ” شماره اندروید، مدل، برند، تولیدکننده و کد دستگاه، اثرانگشت بیلد، نسخه اندروید، رزلوشن صفحه، دی‌پی‌آی صفحه، چگالی صفحه، خاموشی/روشنی شبکه بی‌سیم، خاموشی/روشنی شبکه دیتا، خاموشی/روشنی وضعیت رومینگ، نام اپراتور، نوع شبکه و زبان دستگاه”
    خوب با اینا میخواهید آگهی های هدفمند ایجاد کنید ؟ چیز دیگه ای هست که بخواهید و روتون نمیشه بگید قطعا ارسال آگهی هدفمند فقط با اینا ممکن نیست!
    خوب حالا بریم سر اصل مطلب یکسری کاربر کافه بازار رو نصب کردن و نحوه پرداخت رو به اینصورت قرار دادن و از راه حل هایی که وجود داره استفاده نکردن ، به نظر نمیاد که اینا بخوان یک شبه کلی پول را جا به جا کنن و فرار کنن چون همین الانش پروژه هاشون درامد خوبی براشون داره خوب پس حساب ها و رمز هاشو میخوان چکار ؟
    نکته اش همین جاست اینا یک پروژه دیگه هم بنام سایت دیوار ایجاد کردن و دونستن اینکه کاربران چقدر پول تو حسابشون دارن و نمیدونم میتونن به تراکنش های ماهیانه و نحوه خرج کردن و… کاربران دسترسی پیدا کنن یا نه که میتونه باز تو مارکتینگ و شناخت کاربران هدف موثر باشه قطعا نمایش آگهی یک کالای گران قیمت به کسی که خوب خرج میکنه و پول خرج کردن براش تفریح است بسیار هدفمند تره !!!
    ما به دیتابیس و لاگ هایشان دسترسی نداریم و تا وقتی که کسی نتونه ثابت کنه ، اینها در حد حرف باقی میمونه من از محصولاتشون استفاده نخواهم کرد تا موقعی که مطمئن شدم
    متاسفانه تو این دوران کافیه شما یک جاسوس را زیبا طراحی کنید مثل وایبر ، همه فکر نمیکنن که جاسوس ها بتونن زیبا باشن و براحتی نصب میکنن
    ما نمیدونیم که چقدر این اپ ها هوشمندانه نوشته شده اند و آیا داده های جاسوسی را ارسال میکنند یا نه و اگر ارسال میکند در چه شرایطی ارسال میکند
    امیدوارم یکی از دوستان حوزه امنیت بتونه یک انلایزی انجام بده که اگر سرقت اطلاعات محرز شد اطلاع بده تا دیگر کاربران سریعا این برنامه را پاک کنند
    البته گفتم معلوم نیست با توجه حوزه هوش مصنوعی ای که مدیر عامل روش فعال بوده و فرضیه سرقت اطلاعات به چه نحو اینکار انجام میشود ، شاید از سرور درخواست داده میشود و نرم افزار نصب شده اطلاعات را ارسال میکند که در اینصورت با دیدن این پیغام فعلا سرور رو غیر فعال خواهند کرد و ما هم در آنالیز ها چیزی را نخواهیم دید !!
    امیدوارم همه این حرف ها در حد حرف و فرض هایی که کردم باشه و هدف های پلیدی پشتش نباشه

    • قضیه‌ی تجمیع اطلاعات کاربران اصلا چیز جدیدی نیست ، در سطح کلان هدف گوگل از ایجاد سیستم عامل اندروید دقیقا همین بوده . تنها راه مقابله با این قضیه هم فقط و فقط استفاده از سیستم عامل ها و نرم افزارهای آزاد هست ، مثلا گنو/لینوکس به عنوان سیستم عامل دسکتاپ ، replicant یا firefoxOs یا Ubuntu Touch برای موبایل و استفاده از نرم افزارهایی آزادی که میشه کد منبعشون رو مطالعه کرد و به راحتی به عملکردشون پی برد

      • آقای بیگی بله حرف شما درست است
        همه ما میدونیم یک سری شرکت هستند که علاقمندن اطلاعاتی را برای یکسری اهداف که همه اون اهداف هم تمیز نیستن استفاده میشن
        هیچ وقت همه شرکت ها اهدافشان را از تجمیع و پالایش اطلاعات نگفتن وشاید اگر بگن سهم بزرگی از بازار را از دست خواهند داد
        متاسفانه بیشترین استفاده کنندگان تکنولوژی آدم های معمولی با سطح سواد معمولی هستند و تا موقعی که عمق یک فاجعه را ندونن به استفاده از اون جاسوس افزارها ادامه میدن
        مصداقش : هنوزم ۱۰-۱۳ درصد بازدید کنندگان وب از IE استفاده میکنند و وب دولوپرها هم استایل شیت ها را برای IE با کلی زحمت و کد اضافی هم ست میکنند و عقیده دارند تا موقعی که داره IE استفاده میشه باید اینکار رو برای بدست آوردن اون سهم ناچیز از کاربران کرد
        حالا سوال اینجاست که آیا واقعا این کار وب دولوپرها به ادامه استفاده از چیزی که عقب مونده از تکنولوژی و سهم بسیار ناچیزی را دارد کمکی به کنار گذاشتن IE میکند یا نه شاید روزی IE بتواند خود را بروز کند اما چیزی که الان موجوده یک مرورگر عقب افتاده است ، مسئله اینجاست که کاربران اکثرا این نکات را نمیدونن و تا موقعی که یک چیزی براشون کار کنه استفادش میکنن خصوصا اگر مثل کافه بازار راحتی بیشتری رو فراهم کند

        شاید روزی یک نفر بتونه کل دیتایی که اندروید و گوگل کروم از کاربر بدون اطلاعش برمیدارد را افشا کند و قطعا تاثیر بدی روی استفاده مجدد آندروید و گوگل خواهد گذاشت
        من خودم با وایر شارک وقتی کروم باز است پاکت هارو میبینم و این درخواست ها خیلی هاشون مال من نیست و معلوم نیست گوگل این همه اطلاعات اضافی که معلوم نیست چی هست رو برای چی میخواد اینو خودتونم میتونید ببینید ، یک سرچ مگه چی داره یک درخواست سرچ میره یک ریسپانس برمیگرده حالا دو تا هم برای لاگین و سیشن ها و … که با JS هستن ، دیگه بقیه اش ماله چیه ؟ و این کانکشن های مشکوک تا ساعت ها بعد از سرچ شما باقی میمونن و همینطور به حجم دیتاهای ارسالی به گوگل از طرف ما روی این کانکشن ها افزایش پیدا میکنه ، کافیه یک اسنودن دیگه پیدا بشه و دیتا هارو کشف کنه ، اون وقت شاهد افت شدید کاربران خواهیم بود

        کافه بازار هم مصداقش همینه ، یک داوطلب بتونه جاسوسی های احتمالی آنرا کشف و افشا کنه دیگر کمتر کسی علاقمند میشه یک جاسوس همیشه همراهش باشه

        • خیلی وقت ها نیازی به کشف شدن نیست . مثلا خطر گوگل کاملا مشخصه . ولی خب مخالف این هستم که افشاگری ها تاثیر به سزایی توی استفاده‌ٔ مصرف کننده ها داشته باشه. در مورد اپل و آمازون و مایکروسافت سابقا افشاگری هایی صورت گرفته ولی تاثیر خاصی دیده نشده

  11. به این نکته دقت کن که کارشناسان امنیتی که میخوان امنیت یک نرم افزار رو بررسی کنن ( مثل کاری که تو انجام دادی در این مقاله ) باید ترافیک نرم افزار رو هم آنالیز کنن.

    اگر موقع خرید ترافیک این نرم افزار رو آنالیز کنی میبینی ارتباطی به جز با درگاه امن بانک ملت یا سامان ایجاد نمیشه و اطلاعات ارسالی از کامپیوتر تو صرفا به این بانک ها اتفاق میفته. اطلاعاتی برگشتی هم صرفا شماره رسید دیجیتال و موارد مشابه رو شامل میشه نه چیز دیگه. بنابراین اشکال مطرح شده رو کارشناسان امنیتی میتونن به راحتی تشخیص بدن و مشکل امنیتی از این باب وجود نداره.

    اما برای کاربر عادی یا حتی حرفه ای که کارشناس امنیتی نیست, فهمیدن این مساله غیر ممکنه اما در این که ساز و کار امنیتی در این زمینه اشتباهه , یعنی نباید به این شکل اجازه استفاده داده بشه, صحبتی نیست.

    • من کارشناس امنیتی نیستم و دوست هم ندارم باشم 🙂 در مورد پکت ها هم همونطوری که توی متن و کامنت ها اشاره کردم تماما میتونه توی سرور خودشون انجام بشه با توجه به اون کپچاهای ساده و یه درخواست هم برای گمراه کردن عزیزان وایرشارکی بزنه به بانک . واقعا کار سختی نیست ، شاید اگه فرصت داشتم یک روز برای نمونه پیاده سازی کنم . ولی خب خوشحالم که دوستانی مثل شما مشکل دار بودن این روند رو تایید میکنن

  12. برو بابا شماها فقط دشمنیتون میشه با بازار
    فقط بلدید میدونو بچرخونید سمت خودتون
    همون موقع که میری روی پرداخت بالا شاپرک هستش من هزار بار دیدم
    درضمن بازار اگه دزدی میکرد تا الان جلوشو گرفته بودن ، بازار کاملا امنه و توسط خیلی از نهادها تایید شده
    قابلیت پرداخت با USSD هم داره که اونو دیکه نمیتونی بگی کلکه !
    برو جوجه

    • من به عنوان یه نفر آدم نظرم رو گفتم و همونطور هم که توی کامنت ها میبینی دوستان خود بازار هم تا حدودی پذیرفتن و من هم هرگز نگفتم که بازار دزده یا ussd یا وب سایت مشکل دارم . پیشنهادم اینه قبل از احساسی حرف زدن متن رو به همراه کامنت ها یک بار کامل بخون

  13. سلام مهدی بیگی
    اگر بتونیم تو سایت شما برای ارسال نظر از attachment استفاده کنیم یا از تگ های embed کردن عکس من یک سری اطلاعات را برای دوستان در مورد احتمال سرقت کافه بازار اینجا منتشر خواهم کرد.
    با تشکر

  14. بنده یک راه امنیتی پیدا کردم که با اجرای اون هک به روش فیشینگ کلا تعطیل میشه. هنوز جایی عنوان نکردم بدلیل نبودن حق کپی رایت.
    اما بزودی همایشی برگزار میکنم و توی اون همایش این مباحث رو مطرح میکنم. ان شاء الله

  15. سلام
    بنده هم بااینکه فقط عنوان مطلب و خلاصه موضوع راخواندم چون خودم نیز از صحت این موضوع به خوبی اطلاع دارم(برنامه نویس سابق کافه بازار)که بعداز باب شدن خریدهای درون برنامه ای وحیله بسیارشدیدی که کافه بازاردر این نوع فروش برنامه درسرداردوباتوجه به اینکه قبلابنابه بی احطیاتی ازجانب پلیس فتابابت دسترسی غیر….اخطارگرفته بودم اوازهمکاری باکافه بازارقطع ارتباط نمودم حتی برای فروش ازدرگاه ///خیلی خلاصه ومفیدعرض کنم درموردبرنامه هایی که پرداخت درون برنامه ای دارندعرض کنم بعدازنصب برنامه ودرصورت متصل بودن به اینترنت بنابه هردلایلی امکان آپگریدیابروزرسانی برنامه حتی قبل ازاولین استفاده وحتی خریدن وفعال کردن آن که اینجادیگرکافه بازار سورس تکمیلی برنامه راکه همراه بروزرسانی به آن پتچ واضافه میشودرادراختیارنداردکه بتواندادعاکندبرنامه قبلاتوسط فلان آنتی ویروس وبرنامه امنیتی اسکن وچک شده وبرنامه آماده آماده برای جاسوسی کردن ازتمام مشخصات موردنظربرنامه نویس نسبت به مشتربی یاهمان قربانی که به احتمال۹۹درصدبیشترمشخصات بانکی قربانی هدف قرارمیگیردکه برنامه نویس نیازی نداردهمان لحظه اول بعدازپرداخت مشتری که اطلاعات حسابش برای برنامه نویس فرستاده میشودآن راتخلیه کندیعنی خالی کردن حساب مشتری میتواندبرنامه بلندمدی داشته باشدواوهم عجله ای نداشته باشدچون امید داردبا فروش و نصب مثلا۸۰۰ نسخه از اپلیکیشن خودبه مشتریان بعد ازمثلا۳ماه ماکزیمم حداقل اطلاعات بانکی معتبر۴۰۰-۵۰۰ کاربرراکه طی این ۳ ماه نه کارت عابربانکشان تعویض شده بخاطرشکستن یاسوختن یامفقودشدن ویاتغییررمزدوم توسط خودمشتری بنابه هردیلی بازاز۸۰۰نفراواطلاعات نصف آنهاراحداقل داشته باشدوبتواندخیلی حساب شده باکمک برنامه نویسی که گفتیم اونیزبرنامه نویس است که دراین حالت ظرف نهایت۵دقیقه کل موجودی ای۴۰۰-۵۰۰حساب بانکی رامنتقل کندبه هرحسابی که خودش آن راصلاح میداندویاهمه راازطریق خریداینترنتی مثلا شارژ موبایل یاحتی لوازم قیمتی مانند گوشی اپل وسامسونگ وتبلت ونوت بوک بخردبصورت اینترنتی وهمه رادرمحلی که بازخودش تعیین میکندتحویل بگیردکه دراینصورت پلیس فتا هم بعداز۶ماه بررسی ورسیدگی وپیدانکردن سرنخ ازمتهم به همه مالباختگان اعلام میکند مورد حمله هک ازنوع هک نیجریه ای معروف قرارگرفتندکه رسیدگی به این موضوع ازحوزه اختیارات پلیس فتاخارج است ونهایتاپلیس فتا قول گزارش دادن به اینترپل رابه کاربران خواهد داد.
    درضمن کمی هم به نام جیرینگ یعنی شرکت یابخش خصوصی همکاری کننده با همراه اول فکرکنیدوببینیداو نیزبا همین روش و باچه پررویی درانتخاب نام برای خود که اقرارمیکندمیخواهدجیرینگی پول کلی از مشترکین همراه اول که مشتری خودش هستندرابالابکشدیعنی باسرعت مافوق نور!!!به روش بالا وحساب کنید اینکه تاحالااقدام خلافی انجام نداده نشانگراین است که او روی چندهزاریامیلیون اطلاعات بانکی مشتریان خود حساب بازکرده!!!!
    واقع بین باشیم و به همدیگه تهمت متوهم بودن واردنکنیم ویاچیزی نگوییم وفقط نسبت به خودواطلاعات بانکی خودکمی حواس جمع ترباشیم
    شاپرک نیزازنظرظمانت نقدی دربانک مرکزی روزانه تا سقف۵میلیارد تومان ضمانت دارد و اگربتواند کمی اصلاحیه برداشت ههارامرتب کند۱۰هابرابرمیتواندغیب کندکه شایدماجراری۳۰۰میلیاردتومانی گیش آن هیچ جلوه کند!!!

  16. سلام
    بنده هم بااینکه فقط عنوان مطلب و خلاصه موضوع راخواندم چون خودم نیز از صحت این موضوع به خوبی اطلاع دارم(برنامه نویس سابق کافه بازار)که بعداز باب شدن خریدهای درون برنامه ای وحیله بسیارشدیدی که کافه بازاردر این نوع فروش برنامه درسرداردوباتوجه به اینکه قبلابنابه بی احطیاتی ازجانب پلیس فتابابت دسترسی غیر….اخطارگرفته بودم اوازهمکاری باکافه بازارقطع ارتباط نمودم حتی برای فروش ازدرگاه ///خیلی خلاصه ومفیدعرض کنم درموردبرنامه هایی که پرداخت درون برنامه ای دارندعرض کنم بعدازنصب برنامه ودرصورت متصل بودن به اینترنت بنابه هردلایلی امکان آپگریدیابروزرسانی برنامه حتی قبل ازاولین استفاده وحتی خریدن وفعال کردن آن که اینجادیگرکافه بازار سورس تکمیلی برنامه راکه همراه بروزرسانی به آن پتچ واضافه میشودرادراختیارنداردکه بتواندادعاکندبرنامه قبلاتوسط فلان آنتی ویروس وبرنامه امنیتی اسکن وچک شده وبرنامه آماده آماده برای جاسوسی کردن ازتمام مشخصات موردنظربرنامه نویس نسبت به مشتربی یاهمان قربانی که به احتمال۹۹درصدبیشترمشخصات بانکی قربانی هدف قرارمیگیردکه برنامه نویس نیازی نداردهمان لحظه اول بعدازپرداخت مشتری که اطلاعات حسابش برای برنامه نویس فرستاده میشودآن راتخلیه کندیعنی خالی کردن حساب مشتری میتواندبرنامه بلندمدی داشته باشدواوهم عجله ای نداشته باشدچون امید داردبا فروش و نصب مثلا۸۰۰ نسخه از اپلیکیشن خودبه مشتریان بعد ازمثلا۳ماه ماکزیمم حداقل اطلاعات بانکی معتبر۴۰۰-۵۰۰ کاربرراکه طی این ۳ ماه نه کارت عابربانکشان تعویض شده بخاطرشکستن یاسوختن یامفقودشدن ویاتغییررمزدوم توسط خودمشتری بنابه هردیلی بازاز۸۰۰نفراواطلاعات نصف آنهاراحداقل داشته باشدوبتواندخیلی حساب شده باکمک برنامه نویسی که گفتیم اونیزبرنامه نویس است که دراین حالت ظرف نهایت۵دقیقه کل موجودی ای۴۰۰-۵۰۰حساب بانکی رامنتقل کندبه هرحسابی که خودش آن راصلاح میداندویاهمه راازطریق خریداینترنتی مثلا شارژ موبایل یاحتی لوازم قیمتی مانند گوشی اپل وسامسونگ وتبلت ونوت بوک بخردبصورت اینترنتی وهمه رادرمحلی که بازخودش تعیین میکندتحویل بگیردکه دراینصورت پلیس فتا هم بعداز۶ماه بررسی ورسیدگی وپیدانکردن سرنخ ازمتهم به همه مالباختگان اعلام میکند مورد حمله هک ازنوع هک نیجریه ای معروف قرارگرفتندکه رسیدگی به این موضوع ازحوزه اختیارات پلیس فتاخارج است ونهایتاپلیس فتا قول گزارش دادن به اینترپل رابه کاربران خواهد داد.
    درضمن کمی هم به نام جیرینگ یعنی شرکت یابخش خصوصی همکاری کننده با همراه اول فکرکنیدوببینیداو نیزبا همین روش و باچه پررویی درانتخاب نام برای خود که اقرارمیکندمیخواهدجیرینگی پول کلی از مشترکین همراه اول که مشتری خودش هستندرابالابکشدیعنی باسرعت مافوق نور!!!به روش بالا وحساب کنید اینکه تاحالااقدام خلافی انجام نداده نشانگراین است که او روی چندهزاریامیلیون اطلاعات بانکی مشتریان خود حساب بازکرده!!!!
    واقع بین باشیم و به همدیگه تهمت متوهم بودن واردنکنیم ویاچیزی نگوییم وفقط نسبت به خودواطلاعات بانکی خودکمی حواس جمع ترباشیم
    شاپرک نیزازنظرظمانت نقدی دربانک مرکزی روزانه تا سقف۵میلیارد تومان ضمانت دارد و اگربتواند کمی اصلاحیه برداشت ههارامرتب کند۱۰هابرابرمیتواندغیب کندکه شایدماجراری۳۰۰میلیاردتومانی گیش آن هیچ جلوه کند!!!
    راستی یکی از دوستان نسبت به دسترسی های عجیب غریب و غیرقابل انتظاربعنی ازاپلیکیشن هااشاره کرده بودندکه باید من هم تاییدکنم درسته مثلا دسترسی به اطلاعات سیم کارت برای یک برنامه غیرمکالمه ای مثل بازی و گیم واقعاجای سوال داره اما این دوستمون محرز به وایبر اشاره کرده بودند که باید عرض کنم من قبلا درمورد وایبر نهایت تحقیق رو کردم چون اطلاع دارم بیشتراین نرم افزارهای مکالمه ای که اول برای اندرویدوبعد اپل و نهایتاکامپی.وکامپیوترنوشته میشن بااینکه درظاهر و در عمل حتی باWhios گرفتن مشخص میشه مثلا سرور فلان برنامه پت یامکالمه اینترنتی در اروپا و کشور ایکس قراردارد اما اصالت ایرانی داره که تشخیص اون و دراوردن صحت موضوع اگه گزارشی رسیده باشه فقط کمی زمان لازم داره برای هرکس وبراحتی میتونه به بهانه ای مثلا مسلط نبودن به زبان انگلیسی تقاضای کمک و گفتگو با هلپر فارسی زبان یاتکنسین فارسی زبان فلان برنامه راکنه مثلا مایکروسافت هم که گاهی شب ها برای اکتیو کردن محصولات و ویندوزهای اورجینالش ازایران به مشکل میخوری اگرشانس داشته باشی ممکنه بااینکه به انگلیسی مسلط هستی و آماده گفتگو با هلپر انگلیسی زبان هستی باتوجه به نام و کس واکانت هلپر حدس بزنی ایرانی الاصل هست و مقیم خارج از کشورکه خیلی راحت میتونی از شکی که به او کردی اطمینان حاصل کنی که عرض کردم اما گفتم وایبر وچچون وایبر برای خودم جای سوال داشت درموردش تحقیق کردم تا معتبرترین جوابی که گرفتم راوزارت بهداشت ودارودرمان خود ایران ناخواسته طی اعلام یک مطلب واقدام انفورکاتیک نسبت به وایبر اعلام داشته بودکه اشاره شده بود وایبر هم مانند تمام مسنجرها یااپلیکیشن های چت وگفتگوی اینترنتی اقدام به جمع آ.وری اطلاعات زیادی از مشترکین خود درسطح جهان میکندو علت آن پزشکی است پون میخواهندازطریق آن از تعداد بیماران و نوع بیماری ها و داروهای مصرفی و…دربین مشترکین خود مطلع شود وبنابه تعریفات مطرح شده قصد کمک به مردم یعنی دراصل بیماران وکمک به پزشکان و علم پزشکی کند که همه شاهد هستیم همین سایت های معمولی ایرانی که نیازی به نام بردن ندارندبعدازثبت نام وعضویت کاربران مثلاایمیل آدرس اوراتحت عنوان بانک اطلاعاتی و…بهمراه اطلاعات تماس که شامل ایمیل آدرس معترحداقل خواهدبودرابه شرکت های تبلیغاتی ودلال های اینترنتی واگذارمیکنندکه بعدازمثلاثبت نام در سایت ایکس بااینکه ایمیل آدرس جدیدی داده بودی که کسی جز شما و سایت مربوط ازآن خبرنداشته اماهمچنان ازفردایامدتی بعد اینباکس ایمیل آدرس جدیدشما مثل قدیم یاهو به اصطلاح بمبر میشودولبریز از ایمیل های دریافتی که همه وهمه تبلیغاتی هستند که جالب است بین آنها فروش تجهیزات نظامی هم مانند اسپری فلفل و بیسیم نظامی و…هم شمارو شوک زده میکنه.یاهو و گوگل هم هنگامی که شمابرای آشنایان خود طی ایمیلی که میدهیدمثلا درمورد خودروی مرسدس بنزی که تازه خریده اید و ازآن نام میبریدبعدازجواب دادن آشنایتان که درحال خواندن آن هستنیداگرمتوجه شویدمیبینید سرویس یاهو میل یا جیمیل که هر۲ امریکایی هستندو درامرجاسوسی مثل اندروید و گوگل زبان زدهستندکه شکایتی که ازگوگل شدوآلمالن توانست چندین هزاردلارگوگل رابخاطرتجاوزبه حریم خصوصی کاربران دردادگاه جریمه وناچاربه پرداخت خسارت کندمیبینید آنهاهم کنار صفحه(مثلا یاهو میل فعلی وجیمیل سابق)که هر۲یک روش را…بر ای شما درکنارهمان صفحه ایمیل خودتبلیغ آخرین مدل همان خودرویی که مثلا بانام مرسدس نام برده بودید رامیکندوباقیمت وشرایط ویژه!!!
    پس اگه بازبه این فکرکنیدکه آیا امکان داره سرویس های امریکایی اطلاعات خودرابه سایرکشورها مثلا ایران ومشتریان ایرانی خودکه پول خوب بدهندهم بفروشدیانه این فکرهم یک فکر بیخود ساخته ذهن خسته وبیمار فردمتوهم که نمیتواندباشدهیچ ساخته ذهن هوشمند است که میداند همه آنهاتاآنجاکه خودبتوانندبه نفع خودازتمام اطلاعات کاربران حتی اگریکبارمصرف هم باشنداستفاده مکنند درهرجهتی!وبعداطلاعات سوخته خودراکه امکان داردمثلا درایران یا مراکش مثلا دارای ارزش باشدرادراسرع وقت وبااولین پیشنهادودرخواست تبدیل به احسن میکنندونقدش میکنندوهمه اطلاعات مانند تفاله میوه درآبمیوه گیری تاآخرین قطره خودرابایدپس بدهد.

  17. با سلام خدمت شما دوست عزیز
    من یک کاربر اینترنت هستم و اطلاعات زیادی در مورد اصطلاحاتی که شماها به کار میبرید ندارم
    امروز من یه برنامه تو بازار پیدا کردم که پولی بود
    ایا خرید اون مشکلی داره ایا برنامه بازار در کل (دور از احتمالات) امنیت دارد؟یا نخرم ؟اگه راه حلی میشناسید خوشحال میشم اگه بدونم مثلا چجوری بفهمیم که سایت جعلی است ؟

    • من بررسی نکردم. اما اگه مرورگر اندروید رو باز نمیکنن و صفحهٔ بانک به اصطلاح توی خود برنامه embed شده اونها هم مشکل دارند

  18. سلام گوشیموبردم گارانتی یاوروگفت چقدرمیگم برنامه بازارمخربوویروسیه بازم استفاده می کنن!من منظورشونفهمیدم گفت بازارونصب نکنیدبه نظرتون برنامه هایه داخلشم مخربه ویروسین چی کارش کنم بازارپره برنامه هایه فارسیه ازوب دانلودکنم برنامه هارومثله افزایش فالوو؟

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *