安全分析报告: Wps Wpa Tester v3.8.5

安全分数


安全分数 67/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 0
中危 6
信息 2
安全 2
关注 0

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (as.wps.wpatester.ahbpy.Qgvpf) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (as.wps.wpatester.ahbpy.Thysr) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
as/wps/wpatester/ahbpy/Jnkla.java, line(s) 24
as/wps/wpatester/c/d.java, line(s) 3

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
as/wps/wpatester/ahbpy/f.java, line(s) 48

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
as/wps/wpatester/d/b.java, line(s) 6,7,8,27,107,525,544

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
as/wps/wpatester/activities/Scan.java, line(s) 8,570
as/wps/wpatester/activities/ShowPassword.java, line(s) 4,43
as/wps/wpatester/e/a.java, line(s) 4,116,155

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
as/wps/wpatester/activities/Scan.java, line(s) 159
as/wps/wpatester/activities/ShowPassword.java, line(s) 146,263,284,373
as/wps/wpatester/b/d.java, line(s) 311
as/wps/wpatester/c/c.java, line(s) 86,61
as/wps/wpatester/d/b.java, line(s) 621,51,188,453,568,631,619
as/wps/wpatester/d/c.java, line(s) 62,60
as/wps/wpatester/f/c.java, line(s) 96,116,132,141,164,166,191,239
as/wps/wpatester/g/a.java, line(s) 148,145,142,151
com/afollestad/materialdialogs/f.java, line(s) 789
com/afollestad/materialdialogs/internal/c.java, line(s) 108
me/zhanghai/android/materialprogressbar/BaseProgressLayerDrawable.java, line(s) 68
me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 135,145,319

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
as/wps/wpatester/ahbpy/f.java, line(s) 28,30

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Wps Wpa Tester 3.8.5)