مشخصات اصلی برنامه و اطلاعات توسعهدهندهنام برنامه:زیارت پیامبر{ص}نام بسته نرمافزاری:ir.robic_iran2016.zairat_rasoolتعداد کاربر فعال:۱۰۰تاریخ آخرین بهروزرسانی برنامه:۰۹ اردیبهشت ۱۳۹۷دستهبندی برنامه:مذهبینام توسعهدهنده:گروه روبیکنشانی ایمیل توسعهدهنده:sanadaryabar94@gmail.comشناسه شامد:۱-۲-۶۸۹۷۷۷-۶۳-۰-۱۵۷۲۷۳
خلاصه بررسی امنیتی
۸ مورد آسیبپذیری
برپایه ۱۰ ضعف شناخته شده براساس OWSAP در برنامههای موبایلی
۱۰ مورد ریسک امنیتی
ضعف امنیتی در پیادهسازی توابع، کارکرد و تنظیمات برنامه
۸ مورد ضعف ارتباطی
ضعف امنیتی در سرورهای ارتباطی و رابط برنامهنویسی کاربردی
۱۴ مورد آلودگی بدافزاری
براساس بررسی ۷۳ موتور آنتیویروس در سرویس ویروستوتال
جزئیات بررسی
خلاصه اطلاعات فایل برنامهنام بسته نرمافزاری:ir.robic_iran2016.zairat_rasoolنسخه برنامه:v1.0.5حجم فایل:4.68MBامضای دیجیتال فایل:استانداردچکسام فایل:c1dacceb753e46a496cd0ca08eb06d75نتیجه ویروستوتال:۱۴ آلودگی از ۷۳ مورد اسکننتایج اسکن مربوط به موتورهای آنتیویروس موجود در سرویس ویروستوتالآنتیویروس بیتدفندر FalxAndroid.Riskware.Agent.gFQJTآنتیویروس سیمانتک موبایلAppRisk:Generiskآنتیویروس مکآفیArtemis!C1DACCEB753Eآنتیویروس ساینتMalicious (score: 99)آنتیویروس تراستلاکAndroid.PUA.Generalآنتیویروس مکسسکیورAndroid.Notifyer.nآنتیویروس ایکاروسAdWare.AndroidOS.AdPushآنتیویروس AhnLab-V3PUP/Android.Adad.912715آنتیویروس مکآفی نسخه گیتویArtemisآنتیویروس اویراADWARE/ANDR.AdPush.E.Genآنتیویروس اوست موبایلAndroid:Evo-gen [Trj]آنتیویروس کت-کوئیکهیلAndroid.Hiddenapp.Ab921 (PUP)آنتیویروس AegisLabRiskware.AndroidOS.Generic.z!cآنتیویروس گیتوی K7Trojan ( 0001140e1 )ریسکهای امنیتی در میزان دسترسیهای مورد استفاده در برنامهمشاهده اطلاعات مربوط به اتصال شبکهکممشاهده اطلاعات مربوط به اتصال وایفایکمدسترسی کامل به اینترنتکمخواندن وضعیت تلفن و شناسهزیاداجرا شدن در هنگام راهاندازیکمممانعت از به خواب رفتن دستگاهکمنوشتن، تغییر و حذف محتویات کارت حافظهزیاداجازه دریافت نوتیفیکیشنعادینظارت بر فعالیت کاربرزیادثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشنناشناختهآسیبپذیریهای متداول موجود در برنامه براساس استانداردهاذخیره اطلاعات حساس بهصورت ناامن شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m9 و cwe-312استفاده از اعداد تصادفی بجای رمزنگاری شدت خطر این آسیبپذیری ۷.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-330استفاده از الگوریتمهای ضعیف برای ایجاد هش شدت خطر این آسیبپذیری ۷.۴ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m5 و cwe-327ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسیها شدت خطر این آسیبپذیری ۵.۵ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276آسیبپذیری عدم خنثیسازی عناصر مخرب در فرامین SQL شدت خطر این آسیبپذیری ۵.۹ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m7 و cwe-89امکان اجرای کدهای مخرب در واسط نمایش صفحات وب شدت خطر این آسیبپذیری ۸.۸ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m1 و cwe-749امکان خواندن و بازنویسی فایلهای برنامه توسط دیگر برنامهها شدت خطر این آسیبپذیری ۶ از ۱۰ تخمین زده میشود. توضیحات بیشتر در OWSAP-m2 و cwe-276