Ghabzak

برنامه اندرویدی منتشر شده در کافه بازار ارسال نوتیفیکیشن
نام اصلی برنامه:

Ghabzak

نام فارسی برنامه:

قبضک


نام توسعه‌دهنده:

سینا

شناسه ثبت شامد:

۱-۲-۶۸۹۷۷۷-۶۳-۵-۹۱۲۳۱


وب‌سایت سازنده:

ندارد

ایمیل سازنده:

ghabzak@gmail.com

دسته‌بندی برنامه:

امور مالی

تعداد کاربر فعال:

۲,۰۰۰+


رتبه بررسی‌ها:

۱۶ از ۱۰۰

تاریخ بررسی:

۱۳۹۸-۰۶-۱۴


شرایط استفاده:

ندارد

حریم خصوصی:

ندارد

۴ مورد آسیب‌پذیری

برپایه ۱۰ ضعف شناخته براساس OWSAP در برنامه‌های موبایلی

فاقد ریسک امنیتی

استفاده از کتابخانه‌های شخص ثالث ناشناخته و دارای خطر امنیتی

۱۱ مورد ضعف ارتباطی

ضعف امنیتی در سرورهای ارتباطی و رابط برنامه‌نویسی کاربردی

نتایج بررسی برنامه قبضک

اطلاعات اولیه مرتبط با فایل نصب برنامه

نام بسته نرم‌افزاری:

sina.apps.ghabzak

نسخه برنامه:

2.4

حجم فایل:

2.4MB

هش فایل:

ee293e411bd39656fac41529c291e8fe

ویروس‌توتال:

۰ آلودگی از ۶۲ مورد اسکن

امضاء دیجیتال فایل:

استاندارد

موارد قابل توجه مرتبط با حریم خصوصی کاربران برنامه

پروفایل‌سازی و گردآوری اطلاعات:

بله

اشتراک‌گذاری اطلاعات با اشخاص ثالث:

خیر

ردیابی فعالیت‌ها و عملکرد کاربر:

خیر

ریسک‌های امنیتی در میزان دسترسی‌های مورد استفاده در برنامه

مشاهده اطلاعات مربوط به اتصال شبکه

کم

تماس مستقیم با شماره تلفن‌ها

زیاد

دسترسی به دوربین

زیاد

مشاهده لیست حساب‌ها در دستگاه

کم

دسترسی کامل به اینترنت

زیاد

خواندن مخاطبان دفترچه تلفن دستگاه

زیاد

خواندن کارت حافظه

زیاد

خواندن پیامک متنی

زیاد

دریافت و مشاهده پیامک‌های متنی

زیاد

ممانعت از به خواب رفتن دستگاه

زیاد

نوشتن، تغییر و حذف محتویات کارت حافظه

زیاد

اجازه دریافت نوتیفیکیشن

زیاد

ثبت اطلاعات دستگاه و برنامه برای نوتیفیکیشن

کم

آسیب‌پذیری‌های متداول موجود در برنامه براساس استانداردها

آسیب‌پذیری عدم خنثی‌سازی عناصر خاص در فرامین SQL

شدت خطر این آسیب‌پذیری ۵.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M7 و CWE-89

قرار دادن اطلاعات در دسترس افراد غیرمجاز

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M2 و CWE-200

ذخیره اطلاعات حساس در حافظه بدون اعمال نظارت روی دسترسی‌ها

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M2 و CWE-921

آسیب‌پذیر در برابر حملات جعل واسط کاربری

شدت خطر این آسیب‌پذیری ۳.۹ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M1 و CWE-451

ذخیره داده‌های پشتیبان بدون اعمال نظارت روی دسترسی‌ها

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M2 و CWE-921

ارسال، دریافت، انتقال فرامین درون برنامه‌ای به‌شیوه ناامن

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M1 و CWE-927

مدیریت فرامین درون برنامه‌ای به شیوه ناامن

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M1 و CWE-927

استفاده از مولدهای اعداد تصادفی ضعیف در رمزنگاری

شدت خطر این آسیب‌پذیری ۴.۸ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M5 و CWE-338

آسیب‌پذیری در بخش دریافت اطلاعات برودکست‌ها

شدت خطر این آسیب‌پذیری ۳.۳ از ۱۰ تخمین زده می‌شود. توضیحات بیشتر در OWSAP-M1 و CWE-925

امکان اجرای کدهای مخرب در واسط نمایش صفحات وب

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M10 و CWE-749

فعال بودن جاوا اسکریپت در واسط نمایش صفحات وب

شدت خطر این آسیب‌پذیری در حال حاضر نامشخص است. توضیحات بیشتر در OWSAP-M10 و CWE-749