安全分析报告:
安全分数
安全分数 40/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
4
中危
8
信息
1
安全
1
关注
0
高危 Activity (com.pichillilorenzo.flutter_inappwebview_android.chrome_custom_tabs.ChromeCustomTabsActivitySingleInstance) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.pichillilorenzo.flutter_inappwebview_android.chrome_custom_tabs.TrustedWebActivitySingleInstance) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 387,16 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 132,9
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f2/a.java, line(s) 75
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/pichillilorenzo/flutter_inappwebview_android/credential_database/URLCredentialContract.java, line(s) 8,10 com/pichillilorenzo/flutter_inappwebview_android/types/ClientCertResponse.java, line(s) 89 com/pichillilorenzo/flutter_inappwebview_android/types/HttpAuthResponse.java, line(s) 81 com/pichillilorenzo/flutter_inappwebview_android/types/URLCredential.java, line(s) 91
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/pichillilorenzo/flutter_inappwebview_android/credential_database/CredentialDatabaseHelper.java, line(s) 4,5,18 z3/i.java, line(s) 9,10,11,12,13,211
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: a2/p0.java, line(s) 4 d2/b.java, line(s) 12 t5/a.java, line(s) 3 t5/b.java, line(s) 3 u3/d.java, line(s) 4 u5/a.java, line(s) 3 z0/q1.java, line(s) 7
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: c5/i.java, line(s) 129,151 c5/j.java, line(s) 98 i5/g2.java, line(s) 72,76,84,88 j0/a.java, line(s) 46 k0/a.java, line(s) 46 k0/b.java, line(s) 27 k0/c.java, line(s) 232
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: h4/b.java, line(s) 115 i5/r1.java, line(s) 152
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 openinstall统计的=> "com.openinstall.APP_KEY" : "ttk9yx" L3N5c3RlbS9ldGMvZXhjbHVkZWQtaW5wdXQtZGV2aWNlcy54bWw= 9a04f079-9840-4286-ab92-e65be0885f95 L3N5c3RlbS9saWIvbGliY2xjb3JlX3g4Ni5iYw== YW5kcm9pZC5oYXJkd2FyZS5ibHVldG9vdGg= 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a L3N5c3RlbS9iaW4vZHJvaWQ0eC1wcm9w L3N5c3RlbS9mcmFtZXdvcmsveDg2XzY0 L3N5c3RlbS9iaW4vZ2VueW1vdGlvbi12Ym94LXNm e2719d58-a985-b3c9-781a-b030af78d30e L3N5cy9jbGFzcy9uZXQvd2xhbjAvYWRkcmVzcw== L3N5c3RlbS9saWI2NC9saWJjbGNvcmVfeDg2LmJj L3N5c3RlbS9iaW4vbmVtdVZNLXByb3A= VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy edef8ba9-79d6-4ace-a3c8-27dcd51d21ed Y29tLnRlbmNlbnQuYW5kcm9pZC5xcWRvd25sb2FkZXI= YW5kcm9pZC5oYXJkd2FyZS5jYW1lcmEuZmxhc2g= L3N5c3RlbS9iaW4vbWljcm92aXJ0LXByb3A=
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c5/j.java, line(s) 142 com/pichillilorenzo/flutter_inappwebview_android/MyCookieManager.java, line(s) 233,251 com/pichillilorenzo/flutter_inappwebview_android/Util.java, line(s) 240,197,207,224,278 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/ChromeCustomTabsActivity.java, line(s) 185 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/CustomTabsHelper.java, line(s) 85 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 285,383 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserManager.java, line(s) 156 com/pichillilorenzo/flutter_inappwebview_android/service_worker/ServiceWorkerManager.java, line(s) 74 com/pichillilorenzo/flutter_inappwebview_android/types/WebViewAssetLoaderExt.java, line(s) 60 com/pichillilorenzo/flutter_inappwebview_android/webview/JavaScriptBridgeInterface.java, line(s) 62,85,112,132 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/DisplayListenerProxy.java, line(s) 40 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 127 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebView.java, line(s) 402,418,421,1582,2390,2401,2406 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient.java, line(s) 1203,1215,1248,1260,241,257,680,720,798,855,912,977,1017,1085 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient.java, line(s) 142,222,241,293,381,406,469,545,565,603,656,716,758,768,798,808,819 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClientCompat.java, line(s) 143,223,242,294,381,406,469,545,565,603,656,724,766,776,806,816,827 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewRenderProcessClient.java, line(s) 33,74 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InputAwareWebView.java, line(s) 60,68,76,101,148 d5/l.java, line(s) 80 e0/b.java, line(s) 81 e4/b.java, line(s) 77,92,25,64,74,89 e4/c.java, line(s) 207,226,196 e5/j.java, line(s) 14,30,44 f3/a.java, line(s) 97 f3/b.java, line(s) 116,154 f3/c.java, line(s) 31,42,52 g0/r.java, line(s) 31,108,113,180,188 h0/a.java, line(s) 17 h0/t.java, line(s) 49,80,84,235,243,249,257 h0/v.java, line(s) 284,288,293 h0/x.java, line(s) 59 h5/a.java, line(s) 186,293 i0/b.java, line(s) 343,397,372 i0/e.java, line(s) 105,126,317,353,607,119,690 i0/h.java, line(s) 23,36,61 i0/k.java, line(s) 26,36,56 i4/b.java, line(s) 10,14,28,32,36 i5/g1.java, line(s) 10,18,14 j0/a.java, line(s) 247 j6/a.java, line(s) 12,18,24,30,40 k0/c.java, line(s) 147 n0/b.java, line(s) 80 n3/e.java, line(s) 29,22,18,24 o0/a.java, line(s) 55 q/d.java, line(s) 139 t0/a.java, line(s) 12 v2/r.java, line(s) 38,33,43,28 w/i.java, line(s) 374,376,386,389,130 w/k.java, line(s) 198 w/l.java, line(s) 185,80,100,112,113,128,132 z3/c0.java, line(s) 83,101,164,179,230,243,249,266,271,338,347,407,87,342 z3/e0.java, line(s) 25 z3/i.java, line(s) 156,217,225,269,342,419,459,529,660,240,442
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。