مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:Zoomcar - Self Drive Cars & Car Rentalsنام بسته نرمافزاری:com.zoomcarتعداد کاربر فعال:۱۰۰تاریخ آخرین بهروزرسانی برنامه:۰۷ دی ۱۴۰۳دستهبندی برنامه:سفرنام توسعهدهنده:Zoomcar India Private Limited
خلاصه بررسی امنیتی
فاقد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۲۳ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۷۹ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
فاقد آلودگی بدافزاری
براساس بررسی ۷۶ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:com.zoomcarنسخه برنامه:16.2.0حجم فایل:89.35MBامضای دیجیتال فایل:استانداردچکسام فایل:9f04721f0a7105c0b5026ecceffafef7نتیجه ویروستوتال:۰ آلودگی از ۷۶ مورد اسکنریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهandroid.permission.ACCESS_ADSERVICES_AD_IDناشناختهandroid.permission.ACCESS_ADSERVICES_ATTRIBUTIONناشناختهیافتن موقعیت تقریبی براساس شبکهزیاددسترسی به موقعیت دقیق براساس شبکه و مکانیابزیادمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمدسترسی به بلوتوثکماجازه مدیریت بلوتوثکمandroid.permission.BLUETOOTH_CONNECTناشناختهandroid.permission.BLUETOOTH_SCANناشناختهدسترسی به دوربینزیادکنترل چراغ قوهکمترسیم روی برنامههای دیگرکممشاهده لیست حسابها در دستگاهزیاددسترسی کامل به اینترنتکمandroid.permission.POST_NOTIFICATIONSناشناختهخواندن مخاطبان دفترچه تلفن دستگاهزیادخواندن کارت حافظهزیادandroid.permission.READ_MEDIA_AUDIOناشناختهandroid.permission.READ_MEDIA_IMAGESناشناختهandroid.permission.READ_MEDIA_VIDEOناشناختهخواندن وضعیت تلفن و شناسهزیاداجرا شدن در هنگام راهاندازیکماستفاده از حسابها در دستگاهزیادممانعت از به خواب رفتن دستگاهکمنوشتن، تغییر و حذف محتویات کارت حافظهزیاداجازه دریافت نوتیفیکیشنعادیاطلاع از چگونگی دسترسی و نصب این برنامهناشناختهcom.google.android.gms.permission.AD_IDناشناختهcom.zoomcar.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSIONناشناختهاشتراکگذاری اطلاعات با سرویسهای شخص ثالثAppsFlyer اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردCleverTap اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردGoogle CrashLytics اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردGoogle Firebase Analytics اشتراکگذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیتها و وضعیت عملکردآسیبپذیریهای متداول موجود در برنامه براساس استانداردهااستفاده از الگوریتمهای ضعیف پیشفرض در رمزنگاری شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330آسیبپذیر در برابر حملات فرد میانی و خطا در SSL شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m3 و cwe-295نشت IP کاربر شدت خطر این آسیبپذیری ۴.۳ از ۱۰ تخمین زده میشود. توضیحات بیشتر در cwe-200استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89ذخیره اطلاعات در پوشه فایلهای موقت دستگاه شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749امکان بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیر در برابر حمله لایهگذاری اوراکل شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-649