安全分析报告: Free Download Manager v6.23.0.5754

安全分数


安全分数 51/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 1
中危 11
信息 3
安全 1
关注 2

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
org/freedownloadmanager/fdm/BibWebViewClient.java, line(s) 190,181

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (org.freedownloadmanager.fdm.AutoStartBroadcastReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(org.freedownloadmanager.fdm.WebViewActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (org.freedownloadmanager.fdm.SendActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (org.freedownloadmanager.fdm.SendToBrowserActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (org.freedownloadmanager.fdm.MyAlarmReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
org/qtproject/qt/android/ExtractStyle.java, line(s) 57,58
org/qtproject/qt/android/QtActivityDelegate.java, line(s) 49,54,59,60,61,62
org/qtproject/qt/android/QtServiceDelegate.java, line(s) 13,18,14,15,16,17,19,20,21,22
org/qtproject/qt/android/bindings/QtLoader.java, line(s) 23,24,25,26,27,28,29,30,31,32,33,34,35

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
org/qtproject/qt/android/multimedia/QtMultimediaUtils.java, line(s) 69,71

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_crash_reporting_api_key" : "AIzaSyDY2TznTXgBH32iBlTn-TmOaOk9COSwGj4"
"google_api_key" : "AIzaSyDY2TznTXgBH32iBlTn-TmOaOk9COSwGj4"

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
me/dm7/barcodescanner/core/CameraPreview.java, line(s) 135,157,276,284
me/dm7/barcodescanner/zxing/ZXingScannerView.java, line(s) 158
org/freedownloadmanager/fdm/BibWebViewClient.java, line(s) 138,147,153,170,174
org/freedownloadmanager/fdm/MyActivity.java, line(s) 47,32,55,62,121,128,135,141,149,152
org/freedownloadmanager/fdm/MyJavaNatives.java, line(s) 79
org/freedownloadmanager/fdm/MyService.java, line(s) 55,138
org/freedownloadmanager/fdm/NotificationTools.java, line(s) 42
org/freedownloadmanager/fdm/PersistentCookieStore.java, line(s) 44,73
org/freedownloadmanager/fdm/SerializableHttpCookie.java, line(s) 27,36,39,49,59
org/freedownloadmanager/fdm/Tools.java, line(s) 110,116
org/freedownloadmanager/fdm/WebViewActivity.java, line(s) 140,147,251
org/qtproject/qt/android/ExtractStyle.java, line(s) 786,195
org/qtproject/qt/android/QtActivityDelegate.java, line(s) 628,705,1201,1212,588
org/qtproject/qt/android/QtNative.java, line(s) 258,270,282,372,850,870,912,940,1002,1125,302,305,307,329,340,343
org/qtproject/qt/android/QtServiceDelegate.java, line(s) 44
org/qtproject/qt/android/accessibility/QtAccessibilityDelegate.java, line(s) 265,266,267,270,87,118,185,190,198,206,219,246,257,321
org/qtproject/qt/android/bindings/QtLoader.java, line(s) 167,168,172,179,229,232,266,292
org/qtproject/qt/android/bindings/QtService.java, line(s) 18
org/qtproject/qt/android/multimedia/QtAndroidMediaPlayer.java, line(s) 488,500,512,658,262,274,287,302,313,326,347,369,404,463,470,494,506,520,526,538,550,577,639
org/qtproject/qt/android/multimedia/QtAudioDeviceManager.java, line(s) 178
org/qtproject/qt/android/multimedia/QtCamera2.java, line(s) 187,193,431,155,259,308,351,377,422,438,452,461,472,488
org/qtproject/qt/android/multimedia/QtExifDataHandler.java, line(s) 40,43
org/qtproject/qt/android/multimedia/QtMultimediaUtils.java, line(s) 110

信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 

此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/qtproject/qt/android/QtNative.java, line(s) 797,7

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/qtproject/qt/android/QtNative.java, line(s) 7,820,864,867

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
org/qtproject/qt/android/QtNative.java, line(s) 994,993,992,992

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.151.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.151.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Free Download Manager 6.23.0.5754)