27-06-2018, 16:19
Про приложение из смс:
Установка и использование приложений на мобильных телефонах это личное дело человека. Для информации:
1. Наша управляющая компания - Территория комфорта - Клязьма. Не УрбанГрупп, не Территория комфорта.
2. Разработчик активно спамит в приложении, но при этом трубки не берет, на контакт не идёт.
Результаты тестирования приложения (андроид)
Для расширения кругозора и чтобы было:
результаты можно найти тут:
https://www.htbridge.com/mobile/
"Совсем дырявое". - если кратко. Если аргументировано, то выглядит это так:
Описание:
мобильное приложение может обращаться к внешнему хранилищу (например, к SD-карте) в режиме чтения или записи. Данные приложения, хранящиеся на внешнем хранилище данных, могут быть доступны другими приложениями (в том числе вредоносными) при определенных условиях и подвержены риску повреждения или искажения данных.
Описание:
мобильное приложение использует сторонние библиотеки, которые могут представлять угрозу безопасности и конфиденциальности, если они поступают из ненадежного источника или устарели. Надежные и общедоступные библиотеки (например, SDK Google, Facebook SDK, SDK сигнала) не отображаются.
Описание:
мобильное приложение использует HTTP-протокол для отправки или получения данных. Конструкция протокола HTTP не обеспечивает никакого шифрования передаваемых данных, которые могут быть легко перехвачены, если злоумышленник находится в той же сети или имеет доступ к каналу данных жертвы.
Описание:
мобильное приложение использует предсказуемый генератор случайных чисел (RNG).
При определенных условиях эта слабость может поставить под угрозу шифрование данных мобильного приложения или другую защиту, основанную на рандомизации. Например, если ключи шифрования генерируются внутри приложения, и злоумышленник может предоставить приложение с предсказуемым ключем для проверки, а затем выполнить чувствительную активность в приложении или его бэкэнд.
Описание:
мобильное приложение использует незашифрованную базу данных SQLite.
Эта база данных может быть доступна злоумышленнику с физическим доступом к мобильному устройству или вредоносному приложению с корневым доступом к устройству. Приложение не должно хранить конфиденциальную информацию в открытом тексте.
Описание
Мобильное приложение содержит внешний приемник, позволяющий другим приложениям, в том числе и вредоносным, отправлять запросы (намерения) без ограничений.
По умолчанию широковещательные приемники экспортируются на Android, в результате любое приложение сможет отправить запросы (намерения) в широковещательный приемник приложения. Чтобы определить, какие приложения могут отправлять запросы (намерения) в широковещательный приемник мобильного приложения, установите соответствующие разрешения в файле манифеста Android.
Описание:
мобильное приложение использует внешние функции резервного копирования (механизм резервного копирования по умолчанию Android), который может хранить внутри конфиденциальные данные из приложения. В определенных условиях это может привести к раскрытию информации (например, при сбое резервного сервера или вашей учетной записи Gmail).
Описание:
мобильное приложение содержит отладочную или другую техническую информацию, которая может быть извлечена и использована злоумышленником для облегчения дальнейших атак.
Описание.
В мобильном приложении не предусмотрена защита от кражи, требуемая для смягчения атак с помощью tapjacking.
По умолчанию Android OS позволяет мобильному приложению отображать свой пользовательский интерфейс через пользовательский интерфейс другого приложения, установленного и запущенного на устройстве. Когда пользователь прикасается к экрану, приложение может передать сенсорное событие другому приложению ниже уровня пользовательского интерфейса, который пользователь не видит, выступая в роли прокси для передачи непреднамеренных действий касания. Эта атака очень похожа на clickjacking, но для мобильных устройств. Чтобы быть успешным, злоумышленное приложение должно быть уже установлено на мобильный телефон жертвы. Примером эксплуатации может быть вредоносное приложение, которое заставляет пользователя невольно нажать на кнопку оплаты (или любую другую функциональность) чувствительного приложения при игре в игру или совершить другую невиновную активность на экране вредоносного приложения.
Описание
. Мобильное приложение содержит экспортированную услугу.
По умолчанию службы Android не экспортируются и не могут быть вызваны другими приложениями. Однако, если фильтр намерения определен в файле Android Manifest, он экспортируется по умолчанию. Особое внимание следует уделять экспортированным службам, так как без конкретных разрешений они могут использоваться любыми другими приложениями, включая вредоносные.
Указанные дыры при наличии порядочного поставщика значительно теряют в степени опасности. Тут поставщик просто неизвестен. О проблемах с деньгами в компании УрбанГрупп рассказывать смысла нет.
К каким сайтам идет обращение:
По сайту комфортсити:
Сервер комфортсити не работает, соответственно ни о каких счетчиках и прочих показаниях и речи быть не может...
По платежному сервису: Важно!!!
Платежный сервис не соответствует требованиям безопасности платежей, не смотря на наличие картинки сертификации. Этого достаточно, чтобы хотя бы НЕ платить...
Неужели никого не смущает, что показания счётчиков вносить нельзя, зато уже платить можно??
Установка и использование приложений на мобильных телефонах это личное дело человека. Для информации:
1. Наша управляющая компания - Территория комфорта - Клязьма. Не УрбанГрупп, не Территория комфорта.
2. Разработчик активно спамит в приложении, но при этом трубки не берет, на контакт не идёт.
Результаты тестирования приложения (андроид)
Для расширения кругозора и чтобы было:
результаты можно найти тут:
https://www.htbridge.com/mobile/
"Совсем дырявое". - если кратко. Если аргументировано, то выглядит это так:
Описание:
мобильное приложение может обращаться к внешнему хранилищу (например, к SD-карте) в режиме чтения или записи. Данные приложения, хранящиеся на внешнем хранилище данных, могут быть доступны другими приложениями (в том числе вредоносными) при определенных условиях и подвержены риску повреждения или искажения данных.
Описание:
мобильное приложение использует сторонние библиотеки, которые могут представлять угрозу безопасности и конфиденциальности, если они поступают из ненадежного источника или устарели. Надежные и общедоступные библиотеки (например, SDK Google, Facebook SDK, SDK сигнала) не отображаются.
Описание:
мобильное приложение использует HTTP-протокол для отправки или получения данных. Конструкция протокола HTTP не обеспечивает никакого шифрования передаваемых данных, которые могут быть легко перехвачены, если злоумышленник находится в той же сети или имеет доступ к каналу данных жертвы.
Описание:
мобильное приложение использует предсказуемый генератор случайных чисел (RNG).
При определенных условиях эта слабость может поставить под угрозу шифрование данных мобильного приложения или другую защиту, основанную на рандомизации. Например, если ключи шифрования генерируются внутри приложения, и злоумышленник может предоставить приложение с предсказуемым ключем для проверки, а затем выполнить чувствительную активность в приложении или его бэкэнд.
Описание:
мобильное приложение использует незашифрованную базу данных SQLite.
Эта база данных может быть доступна злоумышленнику с физическим доступом к мобильному устройству или вредоносному приложению с корневым доступом к устройству. Приложение не должно хранить конфиденциальную информацию в открытом тексте.
Описание
Мобильное приложение содержит внешний приемник, позволяющий другим приложениям, в том числе и вредоносным, отправлять запросы (намерения) без ограничений.
По умолчанию широковещательные приемники экспортируются на Android, в результате любое приложение сможет отправить запросы (намерения) в широковещательный приемник приложения. Чтобы определить, какие приложения могут отправлять запросы (намерения) в широковещательный приемник мобильного приложения, установите соответствующие разрешения в файле манифеста Android.
Описание:
мобильное приложение использует внешние функции резервного копирования (механизм резервного копирования по умолчанию Android), который может хранить внутри конфиденциальные данные из приложения. В определенных условиях это может привести к раскрытию информации (например, при сбое резервного сервера или вашей учетной записи Gmail).
Описание:
мобильное приложение содержит отладочную или другую техническую информацию, которая может быть извлечена и использована злоумышленником для облегчения дальнейших атак.
Описание.
В мобильном приложении не предусмотрена защита от кражи, требуемая для смягчения атак с помощью tapjacking.
По умолчанию Android OS позволяет мобильному приложению отображать свой пользовательский интерфейс через пользовательский интерфейс другого приложения, установленного и запущенного на устройстве. Когда пользователь прикасается к экрану, приложение может передать сенсорное событие другому приложению ниже уровня пользовательского интерфейса, который пользователь не видит, выступая в роли прокси для передачи непреднамеренных действий касания. Эта атака очень похожа на clickjacking, но для мобильных устройств. Чтобы быть успешным, злоумышленное приложение должно быть уже установлено на мобильный телефон жертвы. Примером эксплуатации может быть вредоносное приложение, которое заставляет пользователя невольно нажать на кнопку оплаты (или любую другую функциональность) чувствительного приложения при игре в игру или совершить другую невиновную активность на экране вредоносного приложения.
Описание
. Мобильное приложение содержит экспортированную услугу.
По умолчанию службы Android не экспортируются и не могут быть вызваны другими приложениями. Однако, если фильтр намерения определен в файле Android Manifest, он экспортируется по умолчанию. Особое внимание следует уделять экспортированным службам, так как без конкретных разрешений они могут использоваться любыми другими приложениями, включая вредоносные.
Указанные дыры при наличии порядочного поставщика значительно теряют в степени опасности. Тут поставщик просто неизвестен. О проблемах с деньгами в компании УрбанГрупп рассказывать смысла нет.
К каким сайтам идет обращение:
По сайту комфортсити:
Сервер комфортсити не работает, соответственно ни о каких счетчиках и прочих показаниях и речи быть не может...
По платежному сервису: Важно!!!
Платежный сервис не соответствует требованиям безопасности платежей, не смотря на наличие картинки сертификации. Этого достаточно, чтобы хотя бы НЕ платить...
Неужели никого не смущает, что показания счётчиков вносить нельзя, зато уже платить можно??
дом-квартира, как это бывает?