安全分析报告: 海角社区 v1.9.0

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 8
信息 1
安全 1
关注 2

高危 应用程序使用了调试证书进行签名 

应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/f/b/d1.java, line(s) 107
h/a/a/c/a.java, line(s) 91

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
f/g/a/a/b4/t0.java, line(s) 4
f/g/a/a/t3/q1.java, line(s) 10
j/w/a.java, line(s) 3
j/w/b.java, line(s) 4
j/w/d/a.java, line(s) 4

中危 IP地址泄露 

IP地址泄露


Files:
f/a/a/h.java, line(s) 22,22

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
f/e/a/a.java, line(s) 40
f/f/b/n0.java, line(s) 977

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
e/d/a/a.java, line(s) 3132

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
凭证信息=> "com.alibaba.pdns.ACCESS_KEY_SECRET" : "aliyun_test"
凭证信息=> "com.alibaba.pdns.ACCESS_KEY_ID" : "1s0edjjoooofgvcdsjsllsf"
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
e/d/a/a.java, line(s) 327,1163,1187,1311,1314,1323,1329,1362,1383,1390,1406,1418,1451,1466,1474,1480,1534,1544,1560,1591,1629,1712,1759,1955,1991,2068,2155,2290,2372,2386,2408,2415,2597,2648,2668,2681,2713,2739,2859,2904,2909,2915,2979,3332,3388,3445,3558,3568,3595,3636,737,745,779,791,803,815,827,839,851,863,875,882,893,905,89,888,1244,2035,2049,2561,2872,2876,2880,3323,3347,3517
e/d/a/b.java, line(s) 56
f/a/a/f/a.java, line(s) 10
f/b/a/j.java, line(s) 17
f/b/a/n.java, line(s) 54,86,90,155,158,396,409,415,423,189
f/b/a/o.java, line(s) 308,312,317
f/b/a/p.java, line(s) 68
f/c/a/b.java, line(s) 332,458,307
f/c/a/c.java, line(s) 144,165,483,678,697,158,570
f/c/a/f.java, line(s) 21,34,59
f/c/a/i.java, line(s) 24,34,54
f/e/a/a.java, line(s) 163,181
f/g/a/a/f4/t.java, line(s) 39,34,29,24
i/a/b.java, line(s) 10,14,24,28,32

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。 

{'ip': '121.228.188.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.douyin.com) 通信。 

{'ip': '121.228.188.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

安全评分: ( 海角社区 1.9.0)