أثار تطبيق “شام كاش” جدلاً واسعاً خلال آذار/مارس 2026، بالتزامن مع اعتماده كوسيلة أساسية لصرف رواتب شريحة واسعة من الموظفين في القطاع العام، إضافة إلى توقف مفاجئ للخدمة استمر عدة أيام. هذا التزامن فتح الباب أمام موجة من التساؤلات والمخاوف التي تصاعدت عبر وسائل التواصل الاجتماعي، وتركزت حول أمن التطبيق وقدرته على حماية بيانات المستخدمين.

في هذا السياق، نشرت منصة «تأكد» تقريراً تقنياً موسعاً، استند إلى أدوات تحليل متقدمة شملت فحص الملفات عبر خدمات متخصصة، وتحليل سجلات النطاقات والخوادم، إضافة إلى قراءة مباشرة لبنية التطبيق (Static Analysis)، بالتعاون مع خبير الأمن السيبراني عبد الرحمن دبيس، بهدف تقديم صورة دقيقة تفصل بين الادعاءات المتداولة والمخاطر الفعلية.

إقرأ أيضاً: توقف تطبيق “شام كاش” لساعات يثير تساؤلات حول الاعتماد عليه في المعاملات المالية

أولاً: ما الذي تبيّن أنه غير دقيق؟

تناول التقرير عدداً من الادعاءات التي انتشرت على نطاق واسع، أبرزها قدرة التطبيق على التجسس على محادثات واتساب وتيليغرام. ووفق التحليل التقني، فإن هذه الادعاءات غير صحيحة، إذ تعتمد هذه التطبيقات على بروتوكولات تشفير متقدمة من طرف إلى طرف (End-to-End Encryption)، ما يجعل الوصول إلى محتوى الرسائل من قبل أي تطبيق خارجي أمراً غير ممكن تقنياً.

كما أوضح التقرير أن طلب التطبيق إذناً للتحقق من وجود تطبيقات أخرى على الجهاز لا يعني قدرته على الوصول إلى بياناتها، بل يقتصر على معرفة وجودها فقط، وهي وظيفة قد تُستخدم لأغراض تقنية محددة دون انتهاك الخصوصية.

الخادم مسجل رسمياً باسم شركة سورية، ويقع جغرافياً داخل مدينة حلب

وفيما يتعلق بمزاعم استضافة خوادم التطبيق خارج سوريا، أظهر الفحص أن عنوان الـ IP المرتبط بالتطبيق مسجل داخل البلاد، وأن مرور البيانات عبر مزودات خارجية (مثل شركات الاتصالات التركية) لا يعني بالضرورة وجود الخوادم في تلك الدول، بل يرتبط بطبيعة البنية التحتية للإنترنت ومسارات العبور.

كذلك، أشار التقرير إلى أن بعض الأذونات التي أثارت القلق، مثل الوصول إلى الكاميرا أو الملفات، تُستخدم عادة في تطبيقات الدفع الإلكتروني لأغراض مثل مسح رموز QR أو التحقق من الهوية ضمن إجراءات “اعرف عميلك” (KYC)، وهي متطلبات تقنية شائعة في هذا النوع من التطبيقات.

ثانياً: المخاطر التقنية الفعلية

في المقابل، كشف التحليل عن مجموعة من النقاط التي اعتبرها مصدر قلق حقيقي. أبرزها غياب التطبيق عن متاجر Google Play وApp Store، ما يعني أنه لم يخضع لعمليات تدقيق أمنية مستقلة تفرضها هذه المنصات. هذا الواقع يجبر المستخدمين على تحميل التطبيق من مصادر خارجية، ما يفتح المجال أمام احتمالية التلاعب بالنسخ أو استبدالها بإصدارات معدلة تحتوي برمجيات خبيثة.

كما لفت التقرير إلى عدم وجود أي تقارير منشورة حول اختبارات اختراق (Penetration Testing) أو مراجعات أمنية مستقلة، وهو ما يُعد معياراً أساسياً في التطبيقات المالية عالمياً، ويُستخدم لإثبات التزام الشركات بحماية بيانات المستخدمين.

ومن أبرز النقاط التي أثارها التحليل، طبيعة الصلاحيات التي يطلبها التطبيق، حيث تبين أنه يحصل على مجموعة من الأذونات المصنفة ضمن “عالية الخطورة”، تشمل الوصول إلى الرسائل النصية، جهات الاتصال، سجل المكالمات، الموقع الجغرافي، إضافة إلى إمكانية قراءة وتعديل الملفات، وحتى تثبيت تطبيقات أخرى أو إجراء مكالمات. ورغم أن لكل إذن تفسيراً وظيفياً محتملاً، إلا أن اجتماع هذه الصلاحيات في تطبيق مالي غير خاضع لرقابة مستقلة يرفع مستوى المخاطر.

اكثر الصلاحيات خطورة في تطبيق شام كاش — هل تطبيق “شام كاش” آمن للاستخدام في سوريا؟ 6

ثالثاً: ثغرات تقنية محتملة

أشار التقرير إلى وجود مخاطر إضافية مرتبطة بطبيعة الأجهزة المستخدمة، خاصة تلك التي تعمل بإصدارات قديمة من نظام أندرويد. إذ قد تحتوي هذه الأجهزة على ثغرات معروفة مثل “Janus”، والتي تتيح للمهاجمين إدخال أكواد خبيثة داخل التطبيق دون أن يتم اكتشافها، ما قد يؤدي إلى تسريب البيانات أو السيطرة على الجهاز.

كما رُصد خلل في آلية التعامل مع الإشعارات داخل التطبيق، يتعلق بما يُعرف بـ”المستقبلات المُصدَّرة”، وهو ما قد يسمح نظرياً لتطبيقات أخرى بإرسال إشعارات مزيفة تظهر للمستخدم وكأنها صادرة عن “شام كاش”. وتكمن خطورة هذه الثغرة في تسهيل هجمات التصيد الاحتيالي، حيث قد يُطلب من المستخدم إدخال بياناته الحساسة استجابة لإشعار مزيف.

شام كاش: هل بات راتبك في مهب تطبيق مجهول؟

رابعاً: غياب الشفافية والإطار القانوني

من أبرز ما ركز عليه التقرير هو غياب الشفافية فيما يتعلق بهوية الجهة المطورة للتطبيق وآليات عمله. إذ لا تتوفر سياسة خصوصية منشورة توضح كيفية جمع البيانات أو تخزينها أو مشاركتها، ولا توجد معلومات واضحة حول الجهة المسؤولة قانونياً عن التطبيق.

ويكتسب هذا الجانب أهمية خاصة نظراً لطبيعة البيانات التي يجمعها التطبيق، والتي تشمل معلومات الهوية الشخصية، والبيانات المالية، وسجلات المعاملات، والموقع الجغرافي. وفي ظل غياب إطار قانوني واضح، قد يجد المستخدم نفسه دون أي حماية فعلية في حال تعرض بياناته للاختراق أو سوء الاستخدام.

كما أشار التقرير إلى أن النطاق الخاص بالتطبيق مرّ بتغييرات تقنية، بعد تعرضه لإجراءات حجب أو إيقاف من مزودات دولية، قبل أن ينتقل إلى نطاق محلي، في خطوة اعتُبرت محاولة لتفادي القيود الخارجية.

خامساً: توقف الخدمة وتفسيراته

فيما يتعلق بتوقف الخدمة الذي أثار موجة القلق، أوضحت إدارة التطبيق أن السبب يعود إلى خلل في نظام أسماء النطاقات (DNS)، نتيجة بلاغات أثرت على استقرار الخدمة، مؤكدة عدم وقوع أي اختراق للبيانات. كما أشارت إلى أن بعض الإجراءات، مثل تجميد الحسابات، تتم بالتنسيق مع جهات قضائية في إطار مكافحة المخالفات المالية.

سادساً: توصيات الاستخدام الآمن

قدّم التقرير مجموعة من الإرشادات للمستخدمين، تركز على تقليل المخاطر في ظل غياب الضمانات الكافية. ومن أبرزها:

تحميل التطبيق من المصادر الرسمية فقط، وتجنب الروابط غير الموثوقة.
مراجعة الصلاحيات الممنوحة للتطبيق وتعطيل غير الضروري منها.
تجنب استخدام التطبيق على أجهزة قديمة غير مدعومة بالتحديثات الأمنية.
الحذر من أي إشعارات تطلب إدخال بيانات حساسة، وعدم التفاعل معها.
الاعتماد على فتح التطبيق مباشرة للتحقق من أي نشاط أو تنبيه.

قائمة الصلاحيات في تطبيق شام كاش — هل تطبيق “شام كاش” آمن للاستخدام في سوريا؟ 7

يخلص تقرير منصة «تأكد» إلى أن تطبيق “شام كاش” لا يدعم الادعاءات المتداولة حول التجسس المباشر على المستخدمين، إلا أنه في المقابل يعاني من ثغرات تقنية ونواقص في البنية الأمنية، إضافة إلى غياب واضح في الشفافية والمعايير المعتمدة في التطبيقات المالية.

وفي ظل اعتماده الإلزامي، تبرز الحاجة إلى خطوات عملية لتعزيز الثقة، تشمل إخضاعه لاختبارات أمنية مستقلة، ونشر سياسات واضحة لحماية البيانات، وتوفير قنوات توزيع رسمية تضمن سلامة النسخ المستخدمة، بما يحقق الحد الأدنى من الأمان للمستخدمين.

Facebook X (Twitter) WhatsApp Telegram