安全分析报告: 씨티은행 v1.0

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 2
中危 14
信息 1
安全 2
关注 0

高危 Activity (com.defmon.life.views.OneDPActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (net.twotwentyone8.tek.found.phone.DialerActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (net.twotwentyone8.tek.cast.CallListener) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.RECEIVE_BOOT_COMPLETED [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (net.twotwentyone8.tek.found.phone.DialerActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (net.twotwentyone8.tek.found.phone.CallServ) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_INCALL_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 高优先级的Intent (2147483647) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
b/a/g/d/a/a.java, line(s) 229,252,313

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
net/twotwentyone8/tek/views/MainActivitys.java, line(s) 120,119

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
a/c/a/a/f/b.java, line(s) 21
a/c/a/a/g/g.java, line(s) 7
a/e/b/a/a.java, line(s) 7
a/e/b/b/a/c.java, line(s) 5
b/a/j/n.java, line(s) 3
e/k0/k/a.java, line(s) 24
e/k0/k/d.java, line(s) 10
e/z.java, line(s) 16

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
b/a/n/h/k.java, line(s) 71
com/jeremyliao/liveeventbus/ipc/IpcConst.java, line(s) 6

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
a/c/a/a/d.java, line(s) 68
a/e/b/d/a.java, line(s) 25

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
d/b/a/b/a.java, line(s) 6,7,42,109,144

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
net/twotwentyone8/tek/tools/l.java, line(s) 70

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
cnRtcDovLzEwMy4xNTkuODAuMjI=
aHR0cDovLzEwMy4xNTkuODAuMjI=
a6190c13118f4cf2846e787fc492c0a6

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/c/a/a/a.java, line(s) 17,19,28
a/c/a/a/e/i.java, line(s) 44,83
a/c/a/a/f/b.java, line(s) 73,144,160,168,176,209,302,330,364,389,405,412,418,454,523,553,587,632,649,651,141,206,386,431,451,561,573,589,657,257,350,408,377,422
a/c/a/a/f/c.java, line(s) 88
a/c/a/a/g/g.java, line(s) 16,28,38,46,77,84,89,90,94,95,106,108,110,115,117,119,124,131
a/e/b/a/a.java, line(s) 74,90
a/e/b/a/b.java, line(s) 19
a/e/b/a/c.java, line(s) 26,54,35
a/e/b/b/b/b.java, line(s) 29
a/e/b/b/b/c.java, line(s) 29,64,45
a/e/b/c/b.java, line(s) 321,78,81,195,202,221,227,233,253,259,328
a/e/b/c/e.java, line(s) 77,128,166
a/e/b/c/f.java, line(s) 56,43,91,101
a/e/b/d/d.java, line(s) 14
b/a/f.java, line(s) 52
b/a/g/a.java, line(s) 59,61,68
b/a/g/b.java, line(s) 24,33,71,85,89,100,55,68,74
b/a/g/d/a/a.java, line(s) 216,67,85,94,103,125,130,135,147,170,186,195,218,232,242,255,265,283,307,326
com/jeremyliao/liveeventbus/logger/DefaultLogger.java, line(s) 22,41,12,31,20,39,24,43,16,35
com/peater/alziplibrary/view/LightOpenGlView.java, line(s) 112
com/peater/alziplibrary/view/OpenGlView.java, line(s) 133
com/peater/alziplibrary/view/OpenGlViewBase.java, line(s) 116
com/robert/encoder/d/a.java, line(s) 97,103,118,33,39,62,67,115
com/robert/encoder/e/a/a.java, line(s) 21,32,27,38
com/robert/encoder/e/a/d.java, line(s) 63,68,106,147
com/robert/encoder/e/b/a.java, line(s) 64
com/robert/encoder/e/c/a.java, line(s) 64,73,80,86,134,173,234,247,261,274,321,76,241,254
com/robert/encoder/f/b/a.java, line(s) 30,55,67,68,115,119
com/robert/encoder/g/c.java, line(s) 67,215,223,258,262,55,75,84,234,254,340,356,362,364
d/a/a/c.java, line(s) 14
d/a/a/f.java, line(s) 485,144,198,603,633,651,672
d/b/a/b/a.java, line(s) 43
g/a/g/h.java, line(s) 55,59,60
net/twotwentyone8/tek/cast/CallListener.java, line(s) 330
net/twotwentyone8/tek/found/phone/DialerActivity.java, line(s) 214,279,558,585,625
net/twotwentyone8/tek/found/phone/notify/NotiServ.java, line(s) 142
net/twotwentyone8/tek/found/phone/view/Keyboard.java, line(s) 44
net/twotwentyone8/tek/lie/LSServ.java, line(s) 225
net/twotwentyone8/tek/lie/SoundServ.java, line(s) 44,49,54,59,64,69,74,79,84,89,94,99,192
net/twotwentyone8/tek/tools/NetStateChangeReceiver.java, line(s) 30,35
net/twotwentyone8/tek/tools/e.java, line(s) 746,84,486,491,501,506,511,633,647,730,796,819,944
net/twotwentyone8/tek/tools/j.java, line(s) 55
net/twotwentyone8/tek/tools/k.java, line(s) 32
net/twotwentyone8/tek/tools/l.java, line(s) 69,82
net/twotwentyone8/tek/tools/p.java, line(s) 45

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
b/a/g/d/a/a.java, line(s) 319,322,322,322,322,322,322

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
e/k0/h/e.java, line(s) 113,111,110,110
e/k0/h/f.java, line(s) 190,188,187,187

安全评分: ( 씨티은행 1.0)