团装团 v1.3.9版本 - 安全评分 _南明离火移动安全分析平台

高危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时，其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部，从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (23) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.umeng.qq.tencent.AuthActivity) 的启动模式不是standard模式

MANIFEST

Activity 不应将启动模式属性设置为 "singleTask/singleInstance"，因为这会使其成为根 Activity，并可能导致其他应用程序读取调用 Intent 的内容。因此，当 Intent 包含敏感信息时，需要使用 "standard" 启动模式属性。

高危 Activity （com.umeng.qq.tencent.AuthActivity）容易受到 Android Task Hijacking/StrandHogg 的攻击。

MANIFEST

活动不应将启动模式属性设置为“singleTask”。 然后，其他应用程序可以将恶意活动放置在活动栈顶部，从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (23) 更新到 28 或更高版本以在平台级别修复此问题。

中危应用程序数据可以被备份

MANIFEST

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (com.android.tuanzhuangtuan.chat.accect.SealNotificationReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (io.rong.imlib.ipc.RongService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (io.rong.imlib.ReConnectService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (io.rong.imlib.ConnectChangeReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.umeng.qq.tencent.AuthActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.android.tuanzhuangtuan.chat.activity.ConversationActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (com.taobao.accs.ChannelService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.taobao.accs.data.MsgDistributeService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (org.android.agoo.accs.AgooService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.umeng.message.UmengIntentService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.umeng.message.XiaomiIntentService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (com.umeng.message.UmengMessageIntentReceiverService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (io.rong.imkit.tools.RongWebviewActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (io.rong.imkit.activity.PicturePagerActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (io.rong.imkit.activity.FilePreviewActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (io.rong.push.core.MessageHandleService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Service (io.rong.push.PushService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (io.rong.push.PushReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
友盟统计的=> "UMENG_APPKEY" : "5a2dfaf1b27b0a5f9000014f"
友盟统计的=> "UMENG_MESSAGE_SECRET" : "92ca1bceb553b514ee20d4ee4091c0e9"
高德地图的=> "com.amap.api.v2.apikey" : "a5e5a6955bd5521ec3c957e98b761ce3"
融云SDK的=> "RONG_CLOUD_APP_KEY" : "4z3hlwrv4afht"
"rc_authorities_fileprovider" : ".FileProvider"

安全此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全分析报告：团装团 v1.3.9

安全分数

安全分数 47/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0

高危 Activity (com.umeng.qq.tencent.AuthActivity) 的启动模式不是standard模式

高危 Activity （com.umeng.qq.tencent.AuthActivity）容易受到 Android Task Hijacking/StrandHogg 的攻击。

中危应用程序数据可以被备份

中危 Broadcast Receiver (com.android.tuanzhuangtuan.chat.accect.SealNotificationReceiver) 未被保护。

中危 Service (io.rong.imlib.ipc.RongService) 未被保护。

中危 Service (io.rong.imlib.ReConnectService) 未被保护。

中危 Broadcast Receiver (io.rong.imlib.ConnectChangeReceiver) 未被保护。

中危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) 未被保护。

中危 Activity (com.umeng.qq.tencent.AuthActivity) 未被保护。

中危 Activity (com.android.tuanzhuangtuan.chat.activity.ConversationActivity) 未被保护。

中危 Service (com.taobao.accs.ChannelService) 未被保护。

中危 Service (com.taobao.accs.data.MsgDistributeService) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。

中危 Service (org.android.agoo.accs.AgooService) 未被保护。

中危 Service (com.umeng.message.UmengIntentService) 未被保护。

中危 Service (com.umeng.message.XiaomiIntentService) 未被保护。

中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。

中危 Service (com.umeng.message.UmengMessageIntentReceiverService) 未被保护。

中危 Activity (io.rong.imkit.tools.RongWebviewActivity) 未被保护。

中危 Activity (io.rong.imkit.activity.PicturePagerActivity) 未被保护。

中危 Activity (io.rong.imkit.activity.FilePreviewActivity) 未被保护。

中危 Service (io.rong.push.core.MessageHandleService) 未被保护。

中危 Service (io.rong.push.PushService) 未被保护。

中危 Broadcast Receiver (io.rong.push.PushReceiver) 未被保护。

中危此应用可能包含硬编码机密信息

安全此应用程序没有隐私跟踪程序

安全评分: ( 团装团 1.3.9)

安全分析报告： 团装团 v1.3.9

安全分数

安全分数 47/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0

高危 Activity (com.umeng.qq.tencent.AuthActivity) 的启动模式不是standard模式

高危 Activity （com.umeng.qq.tencent.AuthActivity） 容易受到 Android Task Hijacking/StrandHogg 的攻击。

中危 应用程序数据可以被备份

中危 Broadcast Receiver (com.android.tuanzhuangtuan.chat.accect.SealNotificationReceiver) 未被保护。

中危 Service (io.rong.imlib.ipc.RongService) 未被保护。

中危 Service (io.rong.imlib.ReConnectService) 未被保护。

中危 Broadcast Receiver (io.rong.imlib.ConnectChangeReceiver) 未被保护。

中危 Activity (com.android.tuanzhuangtuan.wxapi.WXEntryActivity) 未被保护。

中危 Activity (com.umeng.qq.tencent.AuthActivity) 未被保护。

中危 Activity (com.android.tuanzhuangtuan.chat.activity.ConversationActivity) 未被保护。

中危 Service (com.taobao.accs.ChannelService) 未被保护。

中危 Service (com.taobao.accs.data.MsgDistributeService) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。

中危 Service (org.android.agoo.accs.AgooService) 未被保护。

中危 Service (com.umeng.message.UmengIntentService) 未被保护。

中危 Service (com.umeng.message.XiaomiIntentService) 未被保护。

中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。

中危 Service (com.umeng.message.UmengMessageIntentReceiverService) 未被保护。

中危 Activity (io.rong.imkit.tools.RongWebviewActivity) 未被保护。

中危 Activity (io.rong.imkit.activity.PicturePagerActivity) 未被保护。

中危 Activity (io.rong.imkit.activity.FilePreviewActivity) 未被保护。

中危 Service (io.rong.push.core.MessageHandleService) 未被保护。

中危 Service (io.rong.push.PushService) 未被保护。

中危 Broadcast Receiver (io.rong.push.PushReceiver) 未被保护。

中危 此应用可能包含硬编码机密信息

安全 此应用程序没有隐私跟踪程序

安全评分: ( 团装团 1.3.9)

安全分析报告：团装团 v1.3.9

高危 Activity （com.umeng.qq.tencent.AuthActivity）容易受到 Android Task Hijacking/StrandHogg 的攻击。

中危应用程序数据可以被备份

中危此应用可能包含硬编码机密信息

安全此应用程序没有隐私跟踪程序