بررسی امنیتی مستقل

تأیید حرفه‌ای توسط یک شرکت امنیتی مستقل و دارای گواهینامه

نقطه‌ها به صورت حرفه‌ای بررسی شده است

در ژانویه ۲۰۲۶، نقطه‌ها یک ارزیابی امنیتی جامع توسط شرکت 7ASecurity انجام داد. این شرکت امنیتی مستقل دارای گواهینامه‌های ISO 27001 و SOC 2 است. تیمی متشکل از چهار محقق امنیتی ارشد، ۱۲ روز را صرف بررسی تمام جنبه‌های این اپلیکیشن کردند.

این بررسی یک کار سطحی نبود. این یک بررسی عمیق whitebox بود که در آن ممیزان به کد منبع، نسخه‌های دیباگ و مستندات داخلی ما دسترسی کامل داشتند. آن‌ها همه چیز را بررسی کردند.

۴
محقق ارشد
۱۲
روز بررسی
۱۰۰٪
دسترسی به کد منبع

توجه: بررسی امنیتی روی نسخه 1.0.34 انجام شد و اصلاحات در نسخه 1.0.35 تأیید شدند. نسخه‌های بعدی ممکن است شامل تغییراتی باشند که توسط این بررسی پوشش داده نشده‌اند.

چه چیزهایی بررسی شد

بررسی امنیتی (WP1)

تیم، کد منبع اپلیکیشن اندروید را بررسی کرد و به دنبال آسیب‌پذیری در نحوه مدیریت رمزنگاری، اتصالات شبکه، پردازش داده‌ها و محافظت در برابر حملات بود. آن‌ها شبکه مش بلوتوث، انتقال WiFi Aware، یکپارچه‌سازی رله Nostr و اتصال Tor را آزمایش کردند.

ممیزی حریم خصوصی (WP2)

ممیزان ده سوال حیاتی حریم خصوصی را بررسی کردند: اپلیکیشن چه داده‌هایی جمع‌آوری می‌کند؟ این داده‌ها کجا می‌روند؟ آیا اطلاعات حساس به صورت امن ذخیره می‌شوند؟ آیا اپلیکیشن کاربران را ردیابی می‌کند؟ آیا درب پشتی وجود دارد؟ آیا اپلیکیشن تلاش می‌کند دسترسی غیرمجاز بگیرد؟ کار آن‌ها تأیید این بود که نقطه‌ها واقعاً همان کاری را انجام می‌دهد که ادعا می‌کنیم.

نتایج

هیچ آسیب‌پذیری بحرانی یافت نشد.

ممیزان نقاطی برای بهبود شناسایی کردند که عمدتاً مربوط به مقاومت در برابر حملات اختلال شبکه و تقویت پیکربندی بودند. این‌ها یافته‌هایی هستند که در یک بررسی دقیق از هر اپلیکیشن پیچیده‌ای انتظار می‌رود.

چیزهایی که پیدا نکردند:

  • هیچ راهی برای دسترسی یا رمزگشایی پیام‌های شما
  • هیچ درب پشتی یا عملکرد پنهان
  • هیچ مکانیزم ردیابی کاربر
  • هیچ تلاشی برای دسترسی سطح بالا به سیستم
  • هیچ داده‌ای بدون اطلاع شما به سرورهای خارجی ارسال نمی‌شود

ممیزان چه گفتند

«علی‌رغم تعداد یافته‌های شناسایی‌شده در این ارزیابی، راه‌حل نقطه‌ها به خوبی از خود در برابر طیف گسترده‌ای از بردارهای حمله دفاع کرد و نشان‌دهنده یک هدف معماری متمرکز بر امنیت و حریم خصوصی بود.»

ممیزان به طور خاص از این موارد تقدیر کردند:

  • استفاده از پروتکل Noise برای ارتباطات رمزنگاری‌شده
  • طراحی معماری با اولویت حریم خصوصی
  • شیوه‌های مهندسی قوی در مدیریت داده‌های حساس
  • تقویت نسخه انتشار که کار مهاجمان را سخت‌تر می‌کند

درباره 7ASecurity

شرکت 7ASecurity یک شرکت امنیتی متخصص در تست نفوذ و ممیزی کد است. آن‌ها دارای گواهینامه ISO/IEC 27001:2022 و انطباق SOC 2 هستند و قراردادهایشان توسط بیمه Lloyd's پشتیبانی می‌شود. تیم آن‌ها اپلیکیشن‌هایی را برای سازمان‌های سراسر جهان بررسی کرده است.

این یک تأییدیه پولی نبود. آن‌ها استخدام شدند تا مشکلات را پیدا کنند، و کارشان را به طور کامل انجام دادند.

مشاهده 7asecurity.com

گزارش کامل را بخوانید

ما به شفافیت اعتقاد داریم. گزارش کامل ممیزی، شامل تمام جزئیات فنی و توصیه‌ها، به صورت عمومی در دسترس است.

مشاهده گزارش کامل در وبلاگ 7ASecurity دانلود گزارش PDF

تعهد ما

امنیت یک مقصد نیست. یک فرآیند مداوم است. ما متعهد هستیم به:

  • ارزیابی‌های امنیتی منظم همراه با تکامل اپلیکیشن
  • رسیدگی سریع به هرگونه نگرانی امنیتی
  • شفافیت با کاربران درباره یافته‌هایمان