مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:UnionPay APPنام بسته نرمافزاری:com.unionpayتعداد کاربر فعال:۱۰۰تاریخ آخرین بهروزرسانی برنامه:۱۹ اردیبهشت ۱۴۰۳دستهبندی برنامه:امور مالینام توسعهدهنده:China UnionPay
خلاصه بررسی امنیتی
فاقد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۷۴ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۴۳ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
فاقد آلودگی بدافزاری
براساس بررسی ۷۷ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:com.unionpayنسخه برنامه:10.0.7حجم فایل:92.42MBامضای دیجیتال فایل:استانداردچکسام فایل:7dcfa6604fae262db406ddc427986efdنتیجه ویروستوتال:۰ آلودگی از ۷۷ مورد اسکنریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهیافتن موقعیت تقریبی براساس شبکهزیاددسترسی به موقعیت دقیق براساس شبکه و مکانیابزیادandroid.permission.ACCESS_GPSناشناختهاجرای فرامین مرتبط با موقعیت مکانیکمقابلیت دسترسی به موقعیت مکانی در حالت توسعهدهندهزیادمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمandroid.permission.ACTIVITY_RECOGNITIONزیاددسترسی به بلوتوثکماجازه مدیریت بلوتوثکمandroid.permission.BLUETOOTH_ADVERTISEناشناختهandroid.permission.BLUETOOTH_CONNECTناشناختهandroid.permission.BLUETOOTH_SCANناشناختهدسترسی به برودکستهای پایدارکمدسترسی به دوربینزیادتغییر وضعیت اتصال شبکهکماتصال به وایفای و قطع اتصال از آنکمترسیم روی برنامههای دیگرکمبازیابی و دسترسی به اطلاعات برنامههای درحال اجرازیاددسترسی کامل به اینترنتکمتغییر تنظیمات صوتیکماجازه قطع دسترسی به فایلهای سیستمیزیادکنترل ارتباط راه نزدیک (NFC)کمandroid.permission.POST_NOTIFICATIONSناشناختهخواندن مخاطبان دفترچه تلفن دستگاهزیادخواندن کارت حافظهزیادandroid.permission.READ_MEDIA_AUDIOناشناختهandroid.permission.READ_MEDIA_IMAGESناشناختهandroid.permission.READ_MEDIA_VIDEOناشناختهخواندن وضعیت تلفن و شناسهزیادضبط صدازیادandroid.permission.SCHEDULE_EXACT_ALARMناشناختهنمایش اعلان روی برنامههای دیگرزیاداستفاده از احراز هویت بیومتریکیکمدسترسی به قفل اثر انگشتیکمکنترل لرزشکمممانعت از به خواب رفتن دستگاهکمنوشتن، تغییر و حذف محتویات کارت حافظهزیاداصلاح تنظیمات سیستمزیادافزودن میانبر در لانچر اندرویدناشناختهخواندن تنظیمات لانچرناشناختهcom.asus.msa.SupplementaryDID.ACCESSناشناختهcom.coloros.mcs.permission.RECIEVE_MCS_MESSAGEناشناختهاجازه دریافت نوتیفیکیشنعادیاطلاع از چگونگی دسترسی و نصب این برنامهناشناختهcom.google.android.gms.permission.AD_IDناشناختهcom.heytap.mcs.permission.RECIEVE_MCS_MESSAGEناشناختهcom.hihonor.permission.ACCESS_HW_KEYSTOREناشناختهcom.hihonor.push.permission.READ_PUSH_NOTIFICATION_INFOناشناختهتغییر در شمارنده آیکون در لانچر Huaweiناشناختهcom.huawei.permission.ACCESS_HW_KEYSTOREناشناختهcom.meizu.c2dm.permission.RECEIVEناشناختهcom.meizu.flyme.permission.PUSHناشناختهcom.meizu.flyme.push.permission.RECEIVEناشناختهcom.nxp.nfceeapi.SMARTCARDناشناختهfreemme.permission.msaناشناختهgetui.permission.GetuiService.com.unionpayناشناختهmiui.permission.READ_STEPSناشناختهorg.simalliance.openmobileapi.SMARTCARDناشناختهثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشنناشناختهcom.unionpay.permission.CONTROL_RECEIVEناشناختهcom.unionpay.permission.MIPUSH_RECEIVEناشناختهcom.unionpay.permission.PROCESS_PUSH_MSGناشناختهcom.unionpay.permission.PUSH_PROVIDERناشناختهcom.unionpay.permission.VID_CHANGEDناشناختهcom.unionpay.push.permission.MESSAGEناشناختهاشتراکگذاری اطلاعات با سرویسهای شخص ثالثBaidu Location اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردBaidu Map اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردGoogle Firebase Analytics اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردHuawei Mobile Services (HMS) Core اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردSensors Analytics اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردTencent Stats اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردآسیبپذیریهای متداول موجود در برنامه براساس استانداردهااستفاده از الگوریتمهای ضعیف در رمزنگاری شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295نشت IP کاربر شدت خطر این آسیبپذیری ۴.۳ از ۱۰ تخمین زده میشود. توضیحات بیشتر در cwe-200استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89آسیبپذیر در برابر اجرای فرامین مدیریتی در سطح بالا شدت خطر این آسیبپذیری ۰ از ۱۰ تخمین زده میشود. توضیحات بیشتر در cwe-250ذخیره اطلاعات در پوشه فایلهای موقت دستگاه شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276استفاده از الگوریتمهای ضعیف رمزنگاری شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295امکان خواندن فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276امکان بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیر در برابر حمله لایهگذاری اوراکل شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-649