مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:بطری بازی ( جرات حقیقت بازی 6 نفره)نام بسته نرمافزاری:com.elegantuniverse.bottlespinnerتعداد کاربر فعال:۵۰۰تاریخ آخرین بهروزرسانی برنامه:۰۵ اردیبهشت ۱۳۹۷دستهبندی برنامه:تفننینام توسعهدهنده:فرشاد گامبونشانی ایمیل توسعهدهنده:elegantuniverse.queen@gmail.comشناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۰-۱۴۱۱۴۱
خلاصه بررسی امنیتی
۷ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۱۱ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۱۰ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۱۱ مورد آلودگی بدافزاری
براساس بررسی ۷۴ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:com.elegantuniverse.bottlespinnerنسخه برنامه:1.4حجم فایل:3.28MBامضای دیجیتال فایل:استانداردچکسام فایل:e471544c4c7654d4944ae29bf8192f65نتیجه ویروستوتال:۱۱ آلودگی از ۷۴ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس سیمانتک موبایلAppRisk:Generiskآنتیویروس کت-کوئیکهیلAndroid.HiddadSCF.Qآنتیویروس اویراANDROID/Hiddad.FCD.Genآنتیویروس ساینتMalicious (score: 99)آنتیویروس کسپرسکیnot-a-virus:HEUR:AdWare.AndroidOS.Notifyer.aeآنتیویروس نانوRiskware.Android.Notifyer.hffekmآنتیویروس تراستلاکAndroid.PUA.Generalآنتیویروس دکتروبAdware.Adpush.4051Adware.AndroidOS.Notifyer.A!cآنتیویروس زونآلرامnot-a-virus:HEUR:AdWare.AndroidOS.Notifyer.btآنتیویروس ایکاروسAndroidOS.Hiddadریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمدسترسی راهاندازی سرویسهای مرتبط با توابعناشناختهدسترسی کامل به اینترنتکماجرا شدن در هنگام راهاندازیکمممانعت از به خواب رفتن دستگاهکماجازه دریافت نوتیفیکیشنعادیثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشنناشناختهاشتراکگذاری اطلاعات با سرویسهای شخص ثالثGoogle AdMob اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749امکان خواندن و بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276