Dual Apps & Clone App

مشخصات اصلی برنامه و اطلاعات توسعه‌دهنده
نام برنامه:Dual Apps & Clone Appنام بسته نرم‌افزاری:com.dualapp.dualspace.cloneappتعداد کاربر فعال:۱۰۰۰تاریخ آخرین به‌روزرسانی برنامه:۲۷ شهریور ۱۴۰۲دسته‌بندی برنامه:شخصی‌سازینام توسعه‌دهنده:PrivacyDualSpace(NO ROOT)

خلاصه بررسی امنیتی

برنامه اندرویدیمنتشر شده در کافه بازارموجود در گوگل‌پلیبا قابلیت ارسال نوتیفیکیشن
OWASP Testفاقد آسیب‌پذیری

برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامه‌های موبایلی

Libraries Risks Test۳۴۳ مورد ریسک امنیتی

ضعف امنیتی در پیاده‌سازی توابع، کارکرد و تنظیمات برنامه

API Vulnerability Test۲ مورد ضعف ارتباطی

ضعف امنیتی در سرورهای ارتباطی و رابط برنامه‌نویسی کاربردی

API Vulnerability Test۲ مورد آلودگی بدافزاری

براساس بررسی ۷۶ موتور آنتی‌ویروس در سرویس ویروس‌توتال


جزئیات بررسی

خلاصه اطلاعات فایل برنامه
نام بسته نرم‌افزاری:com.dualapp.dualspace.cloneappنسخه برنامه:1.3.0حجم فایل:9.11MBامضای دیجیتال فایل:استانداردچک‌سام فایل:0772e0ec9d6de2b2bd7a2497c0068ef2نتیجه ویروس‌توتال:۲ آلودگی از ۷۶ مورد اسکن
نتایج اسکن مربوط به موتورهای آنتی‌ویروس موجود در سرویس ویروس‌توتال
آنتی‌ویروس ترندمیکرو نسخه هووس‌کالTROJ_GEN.R002V01J223آنتی‌ویروس مکس‌سکیورAndroid.wapnor.a
ریسک‌های امنیتی در میزان دسترسی‌های مورد استفاده در برنامه
android.permission.ACCESS_CACHE_FILESYSTEMزیادیافتن موقعیت تقریبی براساس شبکهزیاددسترسی به قابلیت مدیریت دانلودهاناشناختهدسترسی به موقعیت دقیق براساس شبکه و مکان‌یابزیاداجرای فرامین مرتبط با موقعیت مکانیکمقابلیت دسترسی به موقعیت مکانی در حالت توسعه‌دهندهزیادمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمandroid.permission.ACCESS_WIMAX_STATEناشناختهandroid.permission.ACCOUNT_MANAGERعادیandroid.permission.ACTIVITY_RECOGNITIONزیادایجاد حساب‌ها و تنظیم گذرواژ‌ه‌هازیادمشاهده وضعیت باتریعادیandroid.permission.BIND_APPWIDGETزیادandroid.permission.BIND_DIRECTORY_SEARCHناشناختهدسترسی به بلوتوثکماجازه مدیریت بلوتوثکمandroid.permission.BODY_SENSORSزیاددسترسی به برودکست‌های پایدارکمتماس مستقیم با شماره تلفن‌هازیاددسترسی به دوربینزیادandroid.permission.CHANGE_CONFIGURATIONزیادتغییر وضعیت اتصال شبکهکمتغییر تنظیمات شبکه وایفای به حالت مالتی‌کستکماتصال به وایفای و قطع اتصال از آنکمandroid.permission.CHANGE_WIMAX_STATEناشناختهحذف کش برنامه‌هازیادandroid.permission.CLEAR_APP_USER_DATAعادیandroid.permission.DELETE_PACKAGESزیادandroid.permission.DEVICE_POWERعادیاجازه غیرفعال‌سازی قفل دستگاهکمدریافت اطلاعات از اینترنت بدون اعلام به کاربرناشناختهandroid.permission.EXPAND_STATUS_BARکمکنترل چراغ قوهکمترسیم روی برنامه‌های دیگرکممشاهده لیست حساب‌ها در دستگاهزیادandroid.permission.GET_CLIPSناشناختهandroid.permission.GET_INTENT_SENDER_INTENTناشناختهandroid.permission.GET_PACKAGE_SIZEکمبازیابی و دسترسی به اطلاعات برنامه‌های درحال اجرازیاددسترسی نصب برنامهزیاددسترسی کامل به اینترنتکممتوقف کردن فعالیت برنامه‌های درحال اجرا در پس‌زمینهکمدسترسی به توابع موقعیت مکانی دستگاهکمافزودن یا حذف حساب‌‌ها در دستگاهزیادتغییر تنظیمات صوتیکماجازه قطع دسترسی به فایل‌های سیستمیزیادکنترل ارتباط راه نزدیک (NFC)کمandroid.permission.PACKAGE_USAGE_STATSعادیandroid.permission.PERSISTENT_ACTIVITYزیادandroid.permission.POST_NOTIFICATIONناشناختهandroid.permission.POST_NOTIFICATIONSناشناختهandroid.permission.QUERY_ALL_PACKAGESکمخواندن اطلاعات تقویم دستگاهزیادandroid.permission.READ_CELL_BROADCASTSناشناختهandroid.permission.READ_CLIPSناشناختهخواندن مخاطبان دفترچه تلفن دستگاهزیادخواندن کارت حافظهزیادandroid.permission.READ_INSTALL_SESSIONSناشناختهخواندن گزارش‌های کارکرد دستگاه و داده‌های حساسزیادandroid.permission.READ_MEDIA_AUDIOناشناختهandroid.permission.READ_MEDIA_IMAGESناشناختهandroid.permission.READ_MEDIA_VIDEOناشناختهandroid.permission.READ_OWNER_DATAناشناختهخواندن وضعیت تلفن و شناسهزیادیافتن و خواندن حساب‌ها در دستگاهزیادandroid.permission.READ_SOCIAL_STREAMزیادخواندن تنظیمات همگام‌سازیکمخواندن وضعیت همگام‌سازیکمدسترسی خواندن دیکشنری کیبورد کاربرزیادضبط صدازیادandroid.permission.REORDER_TASKSکممتوقف کردن برنامه‌های در حال اجراکمandroid.permission.SCHEDULE_EXACT_ALARMناشناختهandroid.permission.SET_TIME_ZONEزیادتنظیم تصویر پشت‌زمینهکمandroid.permission.SET_WALLPAPER_HINTSکمandroid.permission.SUBSCRIBED_FEEDS_READکمandroid.permission.SUBSCRIBED_FEEDS_WRITEزیادنمایش اعلان روی برنامه‌های دیگرزیادandroid.permission.TRANSMIT_IRکمandroid.permission.UPDATE_APP_OPS_STATSناشناختهاستفاده از حساب‌ها در دستگاهزیاددسترسی به قفل اثر انگشتیکماستفاده از پروتکل تنظیم نشست‌هازیادکنترل لرزشکمممانعت از به خواب رفتن دستگاهکمandroid.permission.WRITE_APN_SETTINGSزیاداصلاح اطلاعات تقویم دستگاهزیادandroid.permission.WRITE_CLIPSناشناختهاصلاح مخاطبان دفترچه تلفن دستگاهزیادنوشتن، تغییر و حذف محتویات کارت حافظهزیادذخیره اطلاعات در حافظه چندرسانه‌ایناشناختهandroid.permission.WRITE_OWNER_DATAناشناختهandroid.permission.WRITE_PROFILEزیاداصلاح تنظیمات سیستمزیادandroid.permission.WRITE_SOCIAL_STREAMزیادفعال و غیرفعال‌سازی وضعیت همگام‌سازیکمدسترسی نوشتن در دیکشنری کیبورد کاربرکمcn.nubia.launcher.permission.READ_SETTINGSناشناختهcom.actionlauncher.playstore.permission.READ_SETTINGSناشناختهcom.anddoes.launcher.permission.READ_SETTINGSناشناختهتنظیم زنگ ساعتناشناختهخواندن سوابق مرورگر دستگاهناشناختهcom.android.browser.permission.WRITE_HISTORY_BOOKMARKSناشناختهcom.android.launcher2.permission.READ_SETTINGSناشناختهcom.android.launcher3.permission.READ_SETTINGSناشناختهافزودن میانبر در لانچر اندرویدناشناختهخواندن تنظیمات لانچرناشناختهحذف میانبر در لانچر اندرویدناشناختهتغییر در تنظیمات لانچرناشناختهcom.android.vending.CHECK_LICENSEناشناختهcom.android.voicemail.permission.ADD_VOICEMAILناشناختهcom.android.voicemail.permission.READ_WRITE_ALL_VOICEMAILناشناختهcom.apusapps.launcher.permission.READ_SETTINGSناشناختهcom.bbk.launcher2.permission.READ_SETTINGSناشناختهاجازه دریافت نوتیفیکیشنعادیاطلاع از چگونگی دسترسی و نصب این برنامهناشناختهنظارت بر فعالیت کاربرزیادcom.google.android.gms.permission.AD_IDناشناختهcom.google.android.gms.permission.AD_ID_NOTIFICATIONناشناختهcom.google.android.launcher.permission.READ_SETTINGSناشناختهدسترسی به توابع نقشه گوگلناشناختهcom.google.android.providers.talk.permission.READ_ONLYناشناختهcom.google.android.providers.talk.permission.WRITE_ONLYناشناختهخواندن تنظیمات درلانچر HTCناشناختهتغییر در شمارنده آیکون در لانچر Huaweiناشناختهخوتندن تنظیمات در لانچر Huaweiناشناختهcom.huawei.authentication.HW_ACCESS_AUTH_SERVICEناشناختهcom.lenovo.launcher.permission.READ_SETTINGSناشناختهcom.mx.launcher.permission.READ_SETTINGSناشناختهخواندن تنظیمات در لانچر Oppoناشناختهcom.samsung.android.providers.context.permission.READ_RECORD_AUDIOناشناختهcom.samsung.android.providers.context.permission.WRITE_RECORD_AUDIOناشناختهدسترسی به توابع جانبی گوشی‌های Samsungناشناختهcom.samsung.android.scloud.backup.lib.readناشناختهcom.samsung.android.scloud.backup.lib.writeناشناختهcom.samsung.svoice.sync.ACCESS_SERVICEناشناختهcom.samsung.svoice.sync.READ_DATABASEناشناختهcom.samsung.svoice.sync.WRITE_DATABASEناشناختهcom.sec.android.app.voicenote.Controllerناشناختهcom.sec.android.permission.LAUNCH_PERSONAL_PAGE_SERVICEناشناختهcom.sec.android.permission.VOIP_INTERFACEناشناختهcom.sec.android.settings.permission.SOFT_RESETناشناختهcom.s.launcher.permission.READ_SETTINGSناشناختهcom.teslacoilsw.launcher.permission.READ_SETTINGSناشناختهcom.tsf.shell.permission.READ_SETTINGSناشناختهsec.android.permission.READ_MSG_PREFناشناخته
اشتراک‌گذاری اطلاعات با سرویس‌های شخص ثالث
Facebook Ads
اشتراک‌گذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیت‌ها و وضعیت عملکرد
Google AdMob
اشتراک‌گذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیت‌ها و وضعیت عملکرد
Google CrashLytics
اشتراک‌گذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیت‌ها و وضعیت عملکرد
Google Firebase Analytics
اشتراک‌گذاری اطلاعات دستگاه برای تبلیغات، نظارت، خطایابی، تجزیه و تحلیل فعالیت‌ها و وضعیت عملکرد
آسیب‌پذیری‌های متداول موجود در برنامه براساس استانداردها
ذخیره اطلاعات حساس به‌صورت ناامن
شدت خطر این آسیب‌پذیری ۷.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m9 و cwe-312
استفاده از اعداد تصادفی بجای رمزنگاری
شدت خطر این آسیب‌پذیری ۷.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m5 و cwe-330
استفاده از الگوریتم‌های ضعیف برای ایجاد هش
شدت خطر این آسیب‌پذیری ۷.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m5 و cwe-327
ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسی‌ها
شدت خطر این آسیب‌پذیری ۵.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m2 و cwe-276
آسیب‌پذیری عدم خنثی‌سازی عناصر مخرب در فرامین SQL
شدت خطر این آسیب‌پذیری ۵.۹ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-m7 و cwe-89