مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:سوره انعامنام بسته نرمافزاری:ir.anaaam.montazerتعداد کاربر فعال:۱۰۰۰تاریخ آخرین بهروزرسانی برنامه:۲۰ بهمن ۱۳۹۶دستهبندی برنامه:مذهبینام توسعهدهنده:حسام محمدینشانی ایمیل توسعهدهنده:hesam.mohamadi75@gmail.comشناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۵-۱۲۶۵۹۲
خلاصه بررسی امنیتی
۹ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۲۶ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۱۹ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۱۶ مورد آلودگی بدافزاری
براساس بررسی ۷۳ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:ir.anaaam.montazerنسخه برنامه:v1.0حجم فایل:9.2MBامضای دیجیتال فایل:استانداردچکسام فایل:64a32efe1a235f90715d69adcd24f187نتیجه ویروستوتال:۱۶ آلودگی از ۷۳ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس کت-کوئیکهیلAndroid.ADPush.A81d (AdWare)آنتیویروس سیمانتک موبایلAppRisk:Generiskآنتیویروس گیتوی K7Trojan ( 0053fb3f1 )آنتیویروس بیتدفندر FalxAndroid.Riskware.Agent.gGFJXآنتیویروس ساینتMalicious (score: 85)آنتیویروس دکتروبAdware.Adpush.14622آنتیویروس مکآفیArtemis!64A32EFE1A23آنتیویروس AegisLabAdware.AndroidOS.Notifyer.A!cآنتیویروس تراستلاکAndroid.PUA.Generalآنتیویروس مکآفی نسخه گیتویArtemisآنتیویروس اویراADWARE/ANDR.AdPush.E.Genآنتیویروس سیمانتکTrojan.Gen.MBTآنتیویروس ایکاروسPUA.AndroidOS.Hiddadآنتیویروس کیهو-۳۶۰Android/Adware.Generic.HgMASREAآنتیویروس زونآلرامnot-a-virus:HEUR:AdWare.AndroidOS.Notifyer.ckآنتیویروس کسپرسکیnot-a-virus:HEUR:AdWare.AndroidOS.Notifyer.ckریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهمشاهده اطلاعات مربوط به اتصال شبکهکمدسترسی کامل به اینترنتکمخواندن وضعیت تلفن و شناسهزیاداجرا شدن در هنگام راهاندازیکمممانعت از به خواب رفتن دستگاهکماجازه دریافت نوتیفیکیشنعادیثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشنناشناختهآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295امکان خواندن و بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276