安全分析报告: 快橙加速器 v3.4.0

安全分数


安全分数 53/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 2
中危 9
信息 1
安全 2
关注 2

高危 App 链接 assetlinks.json 文件未找到 

[android:name=com.ahaspeed.app.MainActivity][android:host=http://ahaspeed.com]
App Link 资产验证 URL (http://ahaspeed.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
w2/h.java, line(s) 75

中危 基本配置配置为信任系统证书。 

Scope:
*

中危 IP地址泄露 

IP地址泄露


Files:
com/ahaspeed/app/VPNetwork.java, line(s) 63,61,62,64,60

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
u/a.java, line(s) 45
w3/i.java, line(s) 129,151
w3/j.java, line(s) 99

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
n4/a.java, line(s) 3
n4/b.java, line(s) 3
o4/a.java, line(s) 3

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
g0/m0.java, line(s) 5,6,98
g0/t0.java, line(s) 4,5,135
x2/i.java, line(s) 9,10,11,12,13,211

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
k2/c.java, line(s) 80

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
c3/c.java, line(s) 130
k2/b.java, line(s) 55

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_crash_reporting_api_key" : "AIzaSyDw189d24XWCLsY8o8n53RmG0l2C-UFPlo"
"google_api_key" : "AIzaSyDw189d24XWCLsY8o8n53RmG0l2C-UFPlo"
VGhpcyBpcyB0aGUga2V5IGZvcihBIHNlY3XyZZBzdG9yYWdlIEFFUyBLZXkK
VGhpcyBpcyB0aGUga2V5IGZvciBhIHNlY3VyZSBzdG9yYWdlIEFFUyBLZXkK
VGhpcyBpcyB0aGUgcHJlZml4IGZvciBhIHNlY3VyZSBzdG9yYWdlCg
VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
c0/a.java, line(s) 15,22,29,14,21,28,42,43,49,50
d5/b.java, line(s) 363
e3/b.java, line(s) 10,14,28,32
i/a.java, line(s) 31
k0/a.java, line(s) 115,151
k0/d.java, line(s) 23,41,50,60
k2/b.java, line(s) 59,76
l0/e0.java, line(s) 54,56,50
l0/f.java, line(s) 69,35,52,112,118,127,130
l0/g.java, line(s) 42,121
l0/q.java, line(s) 47
l0/u.java, line(s) 68,86,90,118,125,51
l0/z.java, line(s) 31,34,55
l2/c.java, line(s) 94,97,119,127,128,149,155
m/c.java, line(s) 174
m1/a.java, line(s) 98,108,120,124
m1/b.java, line(s) 61,76,83
m1/c.java, line(s) 124
m5/c.java, line(s) 52,52,73
n/a.java, line(s) 79
n0/a.java, line(s) 18
n0/a0.java, line(s) 45
n0/b.java, line(s) 198,216,375,379,383,389
n0/g0.java, line(s) 53,58
n0/k0.java, line(s) 50
n0/t.java, line(s) 33
n0/w.java, line(s) 101
n0/x.java, line(s) 28
n0/y.java, line(s) 20
p0/b.java, line(s) 54,65
q0/e.java, line(s) 16
q0/m.java, line(s) 17,16
t/a.java, line(s) 17
t/s.java, line(s) 49,74,78,342,350,356,364
t/u.java, line(s) 229,233,238
t/w.java, line(s) 51
t0/b.java, line(s) 36,100
u/a.java, line(s) 246
u5/b.java, line(s) 182,264,279,284,294,300,305,315,347,354,378,383,177,254,325
v1/e.java, line(s) 170,241,245,257
v2/a.java, line(s) 58,81,93,141
v2/e.java, line(s) 268,219
v3/i.java, line(s) 49
w2/h.java, line(s) 33
w3/j.java, line(s) 143
x2/c0.java, line(s) 84,134,197,212,263,276,282,299,304,371,380,440,88,375
x2/e0.java, line(s) 24
x2/i.java, line(s) 156,217,225,269,342,419,459,529,660,240,442
x3/l.java, line(s) 80
y1/g.java, line(s) 34,41,44,53,87
y1/o.java, line(s) 131
y3/i.java, line(s) 14,28,39
z/k.java, line(s) 36,65,72,75,92,97,102,107,112

安全 基本配置配置为禁止到所有域的明文流量。 

Scope:
*

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
l5/d.java, line(s) 111,109,108
l5/e.java, line(s) 129,118,137,126,126,128
l5/j.java, line(s) 111,109,108,108
l5/k.java, line(s) 234,221,231,231

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.150.161', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.150.161', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( 快橙加速器 3.4.0)