Smart Watch S2/C2

مشخصات اصلی برنامه و اطلاعات توسعه‌دهنده

نام برنامه:Smart Watch S2/C2نام بسته نرم‌افزاری:com.kangshuo.lenovo.smartتعداد کاربر فعال:۵۰۰تاریخ آخرین به‌روزرسانی برنامه:۱۷ مرداد ۱۴۰۱دسته‌بندی برنامه:تناسب اندامنام توسعه‌دهنده:Beijing Kangshuo Technology

خلاصه بررسی امنیتی

۱۲ مورد آسیب‌پذیری

برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامه‌های موبایلی

۱۱ مورد ریسک امنیتی

ضعف امنیتی در پیاده‌سازی توابع، کارکرد و تنظیمات برنامه

۴۴ مورد ضعف ارتباطی

ضعف امنیتی در سرورهای ارتباطی و رابط برنامه‌نویسی کاربردی

فاقد آلودگی بدافزاری

براساس بررسی ۷۴ موتور آنتی‌ویروس در سرویس ویروس‌توتال

جزئیات بررسی

خلاصه اطلاعات فایل برنامه

نام بسته نرم‌افزاری:com.kangshuo.lenovo.smartنسخه برنامه:1.0.39حجم فایل:43.09MBامضای دیجیتال فایل:استانداردچک‌سام فایل:2a674f745a9476d63ea01b7ae05e233eنتیجه ویروس‌توتال:۰ آلودگی از ۷۴ مورد اسکن

ریسک‌های امنیتی در میزان دسترسی‌های مورد استفاده در برنامه

android.permission.ACCESS_BACKGROUND_LOCATIONزیادیافتن موقعیت تقریبی براساس شبکهزیاددسترسی به موقعیت دقیق براساس شبکه و مکان‌یابزیاداجرای فرامین مرتبط با موقعیت مکانیکممشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمandroid.permission.ACTIVITY_RECOGNITIONزیادandroid.permission.ANSWER_PHONE_CALLSزیاددسترسی به بلوتوثکماجازه مدیریت بلوتوثکمandroid.permission.BODY_SENSORSزیاددسترسی به برودکست‌های پایدارکمتماس مستقیم با شماره تلفن‌هازیاددسترسی به دوربینزیادتغییر وضعیت اتصال شبکهکماتصال به وایفای و قطع اتصال از آنکماجازه غیرفعال‌سازی قفل دستگاهکمکنترل چراغ قوهکمترسیم روی برنامه‌های دیگرکممشاهده لیست حساب‌ها در دستگاهزیادبازیابی و دسترسی به اطلاعات برنامه‌های درحال اجرازیاددسترسی کامل به اینترنتکمافزودن یا حذف حساب‌‌ها در دستگاهزیاداجازه قطع دسترسی به فایل‌های سیستمیزیادپردازش و هدایت تماس‌های خروجیزیادandroid.permission.READ_CALL_LOGزیادخواندن مخاطبان دفترچه تلفن دستگاهزیادخواندن کارت حافظهزیادخواندن گزارش‌های کارکرد دستگاه و داده‌های حساسزیادخواندن وضعیت تلفن و شناسهزیادخواندن پیامک متنیزیاداجرا شدن در هنگام راه‌اندازیکمدریافت و مشاهده پیامک‌های متنیزیادandroid.permission.RECEIVE_USER_PRESENTناشناختهاجازه نصب برنامه‌های جدیدزیادمتوقف کردن برنامه‌های در حال اجراکمandroid.permission.SECURE_SETTINGS_BLUETOOTH_ADDRESSناشناختهارسال پیامک‌‌های متنیزیادandroid.permission.SET_DEBUG_APPزیادنمایش اعلان روی برنامه‌های دیگرزیاداستفاده از حساب‌ها در دستگاهزیادکنترل لرزشکمممانعت از به خواب رفتن دستگاهکمandroid.permission.WRITE_CALL_LOGزیادنوشتن، تغییر و حذف محتویات کارت حافظهزیاداصلاح تنظیمات سیستمزیادافزودن میانبر در لانچر اندرویدناشناختهخواندن تنظیمات لانچرناشناختهنظارت بر فعالیت کاربرزیاد

اشتراک‌گذاری اطلاعات با سرویس‌های شخص ثالث

AutoNavi / Amap
اشتراک‌گذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیت‌ها و وضعیت عملکرد

آسیب‌پذیری‌های متداول موجود در برنامه براساس استانداردها

ذخیره اطلاعات حساس به‌صورت ناامن
شدت خطر این آسیب‌پذیری ۷.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری
شدت خطر این آسیب‌پذیری ۷.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m5 و cwe-330نشت IP کاربر
شدت خطر این آسیب‌پذیری ۴.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در cwe-200استفاده از الگوریتم‌های ضعیف برای ایجاد هش
شدت خطر این آسیب‌پذیری ۷.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسی‌ها
شدت خطر این آسیب‌پذیری ۵.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m2 و cwe-276استفاده از الگوریتم‌های ضعیف برای ایجاد هش
شدت خطر این آسیب‌پذیری ۵.۹ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m5 و cwe-327آسیب‌پذیری عدم خنثی‌سازی عناصر مخرب در فرامین SQL
شدت خطر این آسیب‌پذیری ۵.۹ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m7 و cwe-89ذخیره اطلاعات در پوشه فایل‌های موقت دستگاه
شدت خطر این آسیب‌پذیری ۵.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m2 و cwe-276امکان اجرای کدهای مخرب در واسط نمایش صفحات وب
شدت خطر این آسیب‌پذیری ۸.۸ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m1 و cwe-749آسیب‌پذیر در برابر حملات فرد میانی و خطا در SSL
شدت خطر این آسیب‌پذیری ۷.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m3 و cwe-295