My MCI

برنامه اندرویدی منتشر شده در کافه بازار منتشر شده در گوگل‌پلی ارسال نوتیفیکیشن
نام اصلی برنامه:

My MCI

نام فارسی برنامه:

همراه من (اپلیکیشن رسمی همراه اول)


نام توسعه‌دهنده:

همراه اول

شناسه ثبت شامد:

۱-۲-۶۸۹۷۷۷-۶۳-۵-۱۲۳۳۸۱


وب‌سایت سازنده:

https://www.mci.ir/

ایمیل سازنده:

9990@mci.ir

دسته‌بندی برنامه:

کاربردی

تعداد کاربر فعال:

۵,۰۰۰,۰۰۰+


رتبه بررسی‌ها:

۲۰ از ۱۰۰

تاریخ بررسی:

۱۳۹۸-۰۸-۱۳


شرایط استفاده:

ندارد

حریم خصوصی:

ندارد

۷ مورد آسیب‌پذیری

برپایه ۱۰ ضعف شناخته براساس OWSAP در برنامه‌های موبایلی

۲۲ مورد ریسک امنیتی

استفاده از کتابخانه‌های شخص ثالث ناشناخته و دارای خطر امنیتی

۴۶ مورد ضعف ارتباطی

ضعف امنیتی در سرورهای ارتباطی و رابط برنامه‌نویسی کاربردی

نتایج بررسی برنامه همراه من (اپلیکیشن رسمی همراه اول)

اطلاعات اولیه مرتبط با فایل نصب برنامه

نام بسته نرم‌افزاری:

ir.mci.ecareapp

نسخه برنامه:

4.5

حجم فایل:

15.1MB

هش فایل:

f0dd72a252bb11e84fbf3c287912b92d

ویروس‌توتال:

۰ آلودگی از ۵۲ مورد اسکن

امضاء دیجیتال فایل:

استاندارد

موارد قابل توجه مرتبط با حریم خصوصی کاربران برنامه

پروفایل‌سازی و گردآوری اطلاعات:

بله

اشتراک‌گذاری اطلاعات با اشخاص ثالث:

خیر

ردیابی فعالیت‌ها و عملکرد کاربر:

خیر

ریسک‌های امنیتی در میزان دسترسی‌های مورد استفاده در برنامه

یافتن موقعیت تقریبی براساس شبکه

زیاد

دسترسی به موقعیت دقیق براساس شبکه و مکان‌یاب

زیاد

مشاهده اطلاعات مربوط به اتصال شبکه

کم

مشاهده اطلاعات مربوط به اتصال وایفای

کم

تماس مستقیم با شماره تلفن‌ها

زیاد

بازیابی و دسترسی به اطلاعات برنامه‌های درحال اجرا

زیاد

دسترسی کامل به اینترنت

زیاد

خواندن کارت حافظه

زیاد

خواندن وضعیت تلفن و شناسه

زیاد

دریافت و مشاهده پیامک‌های متنی

زیاد

ارسال پیامک‌‌های متنی

زیاد

دسترسی به قفل اثر انگشتی

کم

کنترل لرزش

کم

ممانعت از به خواب رفتن دستگاه

زیاد

نوشتن، تغییر و حذف محتویات کارت حافظه

زیاد

دسترسی ذخیره اطلاعات در حافظه داخلی دستگاه

زیاد

اجازه دریافت نوتیفیکیشن

زیاد

اطلاع از چگونگی دسترسی و نصب این برنامه

زیاد

دسترسی به توابع نقشه گوگل

زیاد

ثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشن

کم

دریافت اطلاعات از نقشه گوگل

زیاد

آسیب‌پذیری‌های متداول موجود در برنامه براساس استانداردها

ضعف در استفاده از داده‌های مختلف، بدون تایید و بررسی صحت

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M7 و CWE-502

آسیب‌پذیری عدم خنثی‌سازی عناصر خاص در فرامین SQL

شدت خطر این آسیب‌پذیری ۵.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M7 و CWE-89

قرار دادن اطلاعات حساس در دسترس افراد غیرمجاز

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M10 و CWE-200

قرار دادن اطلاعات در دسترس افراد غیرمجاز

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M2 و CWE-200

ضعف در حفاظت از اطلاعات و کنترل دسترسی افراد غیرمجاز

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M2 و CWE-200

ضعف در کنترل کدهای پویا و آسیب‌پذیر در برابر حملات تزریق

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M7 و CWE-94

ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسی‌ها

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M2 و CWE-921

آسیب‌پذیر در برابر حملات جعل واسط کاربری

شدت خطر این آسیب‌پذیری ۳.۹ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M1 و CWE-451

ارسال، دریافت، انتقال فرامین درون برنامه‌ای به‌شیوه ناامن

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M1 و CWE-927

مدیریت فرامین درون برنامه‌ای به شیوه ناامن

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M1 و CWE-927

استفاده از پروتکل‌های تبادل اطلاعاتی رمزگذاری نشده

شدت خطر این آسیب‌پذیری ۶.۵ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M3 و CWE-319

استفاده از الگوریتم‌های ضعیف در رمزنگاری

شدت خطر این آسیب‌پذیری ۴.۴ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M5 و CWE-327

استفاده از مولدهای اعداد تصادفی ضعیف در رمزنگاری

شدت خطر این آسیب‌پذیری ۴.۸ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M5 و CWE-338

آسیب‌پذیری در بخش دریافت اطلاعات برودکست‌ها

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M1 و CWE-925

عدم محدودسازی دسترسی‌های غیرمجاز به سرویس‌های اصلی برنامه

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M1 و CWE-926

فعال بودن جاوا اسکریپت در واسط نمایش صفحات وب

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M10 و CWE-749