مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:تلفظ متن و کلمه (TTS)نام بسته نرمافزاری:tts2.com.example.saeed.com.teammate.rsgs.ttsتعداد کاربر فعال:۲۰۰۰تاریخ آخرین بهروزرسانی برنامه:۰۴ اسفند ۱۳۹۵دستهبندی برنامه:آموزشنام توسعهدهنده:هم گروهنشانی ایمیل توسعهدهنده:team@rsgs.irشناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۵-۳۴۴۶۴
خلاصه بررسی امنیتی
۷ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۱۰ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۱۰ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۹ مورد آلودگی بدافزاری
براساس بررسی ۷۱ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:tts2.com.example.saeed.com.teammate.rsgs.ttsنسخه برنامه:12.0حجم فایل:1.66MBامضای دیجیتال فایل:استانداردچکسام فایل:61c0e965a69ffd11decc35e8bccb17a7نتیجه ویروستوتال:۹ آلودگی از ۷۱ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس سیمانتک موبایلAppRisk:Generiskآنتیویروس اویراANDROID/Agent.ZPF.Genآنتیویروس ساینتMalicious (score: 99)آنتیویروس فورتینتAndroid/Hiddad.HC!trآنتیویروس کت-کوئیکهیلAndroid.HiddadCAD.DAآنتیویروس مکسسکیورAndroid.agent.faآنتیویروس مکآفیArtemis!61C0E965A69Fآنتیویروس مکآفی نسخه گیتویArtemisآنتیویروس اوست موبایلAPK:RepSandbox [Trj]ریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهیافتن موقعیت تقریبی براساس شبکهزیادمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمدسترسی کامل به اینترنتکمخواندن وضعیت تلفن و شناسهزیاداجرا شدن در هنگام راهاندازیکمنمایش اعلان روی برنامههای دیگرزیادممانعت از به خواب رفتن دستگاهکماجازه دریافت نوتیفیکیشنعادیثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشنناشناختهآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749امکان خواندن و بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276