مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:بانک جامع پیامکنام بسته نرمافزاری:pab.payamak.wwwتعداد کاربر فعال:۱۰۰تاریخ آخرین بهروزرسانی برنامه:۱۱ آبان ۱۳۹۸دستهبندی برنامه:سرگرمینام توسعهدهنده:پابلوسافتنشانی ایمیل توسعهدهنده:alirezahasani1692001@gmail.comشماره تلفن توسعهدهنده:09014976025شناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۰-۱۹۲۶۳۳
خلاصه بررسی امنیتی
۸ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۱۹ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۱۲ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۱۱ مورد آلودگی بدافزاری
براساس بررسی ۷۳ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:pab.payamak.wwwنسخه برنامه:v4.0حجم فایل:2.62MBامضای دیجیتال فایل:استانداردچکسام فایل:cff4064585f4ea68d92d31a14578f8ceنتیجه ویروستوتال:۱۱ آلودگی از ۷۳ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس سیمانتک موبایلAdLibrary:Generiskآنتیویروس ساینتMalicious (score: 99)آنتیویروس مکسسکیورAndroid.agent.faآنتیویروس اوست موبایلAndroid:Evo-gen [Trj]Riskware.AndroidOS.Dnotua.z!cآنتیویروس بیتدفندر FalxAndroid.Riskware.Agent.gDKNJآنتیویروس اویراSPR/ANDR.Dnotua.S.Genآنتیویروس زونآلرامnot-a-virus:HEUR:RiskTool.AndroidOS.Dnotua.yfeآنتیویروس گیتوی K7Trojan ( 0001140e1 )آنتیویروس کت-کوئیکهیلAndroid.DnotuaCAD.M (PUP)آنتیویروس کسپرسکیnot-a-virus:HEUR:RiskTool.AndroidOS.Dnotua.yfeریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهمشاهده اطلاعات مربوط به اتصال شبکهکمدسترسی کامل به اینترنتکمخواندن وضعیت تلفن و شناسهزیاداجرا شدن در هنگام راهاندازیکمممانعت از به خواب رفتن دستگاهکمنوشتن، تغییر و حذف محتویات کارت حافظهزیاداجازه دریافت نوتیفیکیشنعادیآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295