移动应用安全检测报告: 天堂漫画2024最新版 v6.12.00

安全基线评分


安全基线评分 34/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

4

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 5
中危安全漏洞 11
安全提示信息 1
已通过安全项 0
重点安全关注 8

高危安全漏洞 应用程序容易受到 Janus 漏洞的影响 

应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。

高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/uiui/sid/user/ui/GameActivity.java, line(s) 26,24

中危安全漏洞 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/ss/android/downloadlib/addownload/hb.java, line(s) 227
com/ss/android/downloadlib/addownload/qw.java, line(s) 130,132
com/ss/android/downloadlib/z/e.java, line(s) 109,245
e/i/a/a/d/a.java, line(s) 54,58,59
e/i/a/g/e.java, line(s) 33

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
XI/K0/XI/XI.java, line(s) 77
g/b/a/a/a/a.java, line(s) 162

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
e/d/a/m/e.java, line(s) 88
e/d/a/m/k/c.java, line(s) 42
e/d/a/m/k/n.java, line(s) 92
e/d/a/m/k/u.java, line(s) 79

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
com/ss/android/download/api/constant/BaseConstants.java, line(s) 36

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/ss/android/downloadlib/r/wo.java, line(s) 4,5,18,23

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
e/i/a/g/l.java, line(s) 31

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/uiui/sid/user/ui/GameActivity.java, line(s) 48,40

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/alex/AlexGromoreBannerAdapter.java, line(s) 230,237,240
com/alex/AlexGromoreRewardedVideoAdapter.java, line(s) 151,210
com/anythink/banner/api/ATBannerView.java, line(s) 354,370,375,528
com/anythink/interstitial/a/a.java, line(s) 78
com/anythink/interstitial/a/c.java, line(s) 85,225,230,235,132,134,173,175
com/anythink/interstitial/api/ATInterstitial.java, line(s) 200,211,224
com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 47,50
e/a/e.java, line(s) 83
e/a/g.java, line(s) 77,176
e/a/h.java, line(s) 350
e/a/i.java, line(s) 57,80
e/a/j.java, line(s) 201
e/d/a/k/a.java, line(s) 472
e/d/a/l/d.java, line(s) 99,129,98,128
e/d/a/l/f.java, line(s) 539,568,575,538,567,574,737,746
e/d/a/m/j/b.java, line(s) 48,47
e/d/a/m/j/j.java, line(s) 52,148,51,147,151,157,164,161,165
e/d/a/m/j/l.java, line(s) 49,48
e/d/a/m/j/o/c.java, line(s) 111,110
e/d/a/m/j/o/e.java, line(s) 81,80
e/d/a/m/k/a0/a.java, line(s) 88,87
e/d/a/m/k/g.java, line(s) 56,57
e/d/a/m/k/i.java, line(s) 32,193
e/d/a/m/k/w.java, line(s) 34,35
e/d/a/m/k/x/j.java, line(s) 114,155,115,156
e/d/a/m/k/x/k.java, line(s) 133,176,187,199,96,132,142,165,175,186,198,225,232,102,143,226,233,166
e/d/a/m/k/y/e.java, line(s) 62,68,96,106,119,131,63,97,69,109,120,132
e/d/a/m/k/y/l.java, line(s) 168,152
e/d/a/m/k/z/a.java, line(s) 98,95
e/d/a/m/k/z/b.java, line(s) 45,44
e/d/a/m/l/c.java, line(s) 19,18
e/d/a/m/l/d.java, line(s) 43,42
e/d/a/m/l/f.java, line(s) 101,100
e/d/a/m/l/s.java, line(s) 100,103
e/d/a/m/l/t.java, line(s) 38,37
e/d/a/m/m/c/b0.java, line(s) 131,128
e/d/a/m/m/c/m.java, line(s) 195,202,282,292,304,316,334,344,347,350,353,356,370,375,194,201,281,291,303,315,333,343,346,349,352,355,369,374
e/d/a/m/m/c/n.java, line(s) 98,116,97,115,191,227,243,192,228,319
e/d/a/m/m/c/o.java, line(s) 47,53,48,54
e/d/a/m/m/c/s.java, line(s) 48,49
e/d/a/m/m/c/y.java, line(s) 298,120,125,170,179,186,295,121,126,171,180,187,188,189,193
e/d/a/m/m/g/a.java, line(s) 78,83,88,97,79,84,89,98
e/d/a/m/m/g/c.java, line(s) 26,27
e/d/a/m/m/g/i.java, line(s) 41,44
e/d/a/n/e.java, line(s) 33,32,55,74,56,75
e/d/a/n/f.java, line(s) 18,17
e/d/a/n/k.java, line(s) 254,255,266
e/d/a/n/m.java, line(s) 111,112
e/d/a/o/e.java, line(s) 52,59,70,75,51,58,63,69,74,64
e/d/a/q/k/f.java, line(s) 78,119,120,79
e/d/a/q/k/r.java, line(s) 76,117,118,77
e/d/a/r/a.java, line(s) 26
e/d/a/s/b.java, line(s) 47,46
e/d/a/s/m/a.java, line(s) 57,58
e/i/a/g/g.java, line(s) 15,31,36,46,56,62
e/j/a/i/a.java, line(s) 37
g/b/b/b/a/a/b.java, line(s) 31
g/b/b/b/a/a/f.java, line(s) 83
g/b/b/c/a/b.java, line(s) 28,48
g/b/b/d/a/c.java, line(s) 165,54,176,188
g/b/b/d/a/d.java, line(s) 25
g/b/b/e/b/b.java, line(s) 54,48

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield-b.com) 通信。 

{'ip': '36.250.233.9', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (qq.ahaozhuan.com) 通信。 

{'ip': '36.250.233.9', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。 

{'ip': '121.228.130.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。 

{'ip': '180.97.251.196', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield.com) 通信。 

{'ip': '36.250.233.9', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。 

{'ip': '117.85.70.228', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '36.250.233.9', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。 

{'ip': '36.250.233.9', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '泉州', 'latitude': '24.913891', 'longitude': '118.585831'}

综合安全基线评分: ( 天堂漫画2024最新版 6.12.00)