مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:اینستا کمیکر (جک ساز اینستاگرام)نام بسته نرمافزاری:ir.zback.instacomicتعداد کاربر فعال:۵۰۰تاریخ آخرین بهروزرسانی برنامه:۰۹ مرداد ۱۳۹۸دستهبندی برنامه:سرگرمینام توسعهدهنده:علیZ-Backنشانی ایمیل توسعهدهنده:ali_zback@yahoo.comشناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۰-۱۸۲۷۸۱
خلاصه بررسی امنیتی
۱۲ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۱۰ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۲۰ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۵ مورد آلودگی بدافزاری
براساس بررسی ۷۳ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:ir.zback.instacomicنسخه برنامه:1.1حجم فایل:22.64MBامضای دیجیتال فایل:استانداردچکسام فایل:6851914863eb793330e1e817ff6f92a4نتیجه ویروستوتال:۵ آلودگی از ۷۳ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس اویراANDROID/Agent.FIUJ.Genآنتیویروس مکآفی نسخه گیتویArtemisآنتیویروس گیتوی K7Trojan ( 0055b1ad1 )آنتیویروس اف-سکیورMalware.ANDROID/Agent.FIUJ.Genآنتیویروس کت-کوئیکهیلAndroid.FIUJ.A68b4ریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمدسترسی به دوربینزیاددسترسی کامل به اینترنتکمخواندن کارت حافظهزیاداجرا شدن در هنگام راهاندازیکمکنترل لرزشکمممانعت از به خواب رفتن دستگاهکمنوشتن، تغییر و حذف محتویات کارت حافظهزیاددسترسی پرداخت از طریق کافه بازارناشناختهاجازه دریافت نوتیفیکیشنعادیاشتراکگذاری اطلاعات با سرویسهای شخص ثالثGoogle AdMob اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردGoogle Firebase Analytics اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295نشت IP کاربر شدت خطر این آسیبپذیری ۴.۳ از ۱۰ تخمین زده میشود. توضیحات بیشتر در cwe-200استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89ذخیره اطلاعات در پوشه فایلهای موقت دستگاه شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749امکان خواندن و بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276