逐鹿助手 v1.8版本 - 安全评分 _南明离火移动安全分析平台

高危应用程序存在Janus漏洞

应用程序使用了v1签名方案进行签名，如果只使用v1签名方案，那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序，以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

CODE

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
b/a/a/a/n.java, line(s) 22,33
b/a/a/a/r0.java, line(s) 265
b/b/f/d/b.java, line(s) 12,24

高危使用弱加密算法

CODE

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
b/b/f/d/b.java, line(s) 12,24
g/a/x.java, line(s) 313

高危不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

CODE

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
b/b/f/a/c.java, line(s) 74,69

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击

CODE

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
b/b/b/b/a/a/i.java, line(s) 76,9,3

中危应用程序已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

中危应用程序数据可以被备份

MANIFEST

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.zhulujieji.emu.ui.activity.retroactivity.RetroActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性

MANIFEST

(com.zhulujieji.emu.wxapi.WXEntryActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity (com.zhulujieji.emu.wxapi.WXEntryActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.zhulujieji.emu.receiver.AppRegister) 受权限保护, 但是应该检查权限的保护级别。

MANIFEST

Permission: com.tencent.mm.plugin.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.zhulujieji.emu.receiver.DownloadCompleteReceiver) 未被保护。

MANIFEST

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$RequestInstallPermissionActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
XI/K0/XI/XI.java, line(s) 78
b/b/g/a/a/a/a/b.java, line(s) 34,91
b/m/a/c/c.java, line(s) 79
com/jg/ids/f/d.java, line(s) 82
g/a/x.java, line(s) 42,327
m/b/a/a/a/a.java, line(s) 94

中危应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
b/b/f/c/c.java, line(s) 5
b/b/f/f/d.java, line(s) 5
b/m/a/a/a/b.java, line(s) 3
b/m/a/c/c.java, line(s) 12
b/p/a/e/h.java, line(s) 9
com/zhulujieji/emu/ui/activity/FeedbackActivity.java, line(s) 48
h/o/a.java, line(s) 3
h/o/b.java, line(s) 4
h/o/d/a.java, line(s) 4
k/e/o/c.java, line(s) 11
k/e/o/e.java, line(s) 5

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
b/a/a/a/o.java, line(s) 101
b/a/a/a/r0.java, line(s) 100,48,84,95,162,173,203,232,244,363
b/a/a/a/y.java, line(s) 20
b/a/a/b/c/b3.java, line(s) 60
b/a/a/b/d/c2.java, line(s) 47
b/a/a/b/d/y0.java, line(s) 83,112,129,174
b/a/a/i/f0.java, line(s) 201,211
b/b/c/a/a.java, line(s) 127
b/b/c/f/a.java, line(s) 86
b/b/g/a/a/b/a.java, line(s) 63
b/m/a/b/a/c.java, line(s) 35
b/p/a/e/h.java, line(s) 30,30
com/ss/android/downloadlib/addownload/g.java, line(s) 483
com/ss/android/downloadlib/addownload/j.java, line(s) 254,256
com/ss/android/downloadlib/g/l.java, line(s) 487,83,383
com/zhulujieji/emu/ui/activity/ConfrontationHallActivity.java, line(s) 376,393,521
com/zhulujieji/emu/ui/activity/CreateRoomActivity.java, line(s) 372,389,465
com/zhulujieji/emu/ui/activity/ImportLocalAppActivity.java, line(s) 223
com/zhulujieji/emu/ui/activity/MainActivity.java, line(s) 352,353
com/zhulujieji/emu/ui/activity/NewKeySettingActivity.java, line(s) 296,362,454
com/zhulujieji/emu/ui/activity/PersonalInfoActivity.java, line(s) 58
com/zhulujieji/emu/ui/activity/SelectFileActivity.java, line(s) 48,50
g/a/x.java, line(s) 253,257,351
j/a/a/e.java, line(s) 232,238

中危 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
b/a/a/a/i0.java, line(s) 28
b/a/a/b/e/s0.java, line(s) 74
b/i/a/m0/i.java, line(s) 205
com/kwai/filedownloader/e/f.java, line(s) 296
com/kwai/sodler/lib/b/b.java, line(s) 39
com/kwai/sodler/lib/b/d.java, line(s) 9

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
b/d/a/m/p/q.java, line(s) 86
com/tachikoma/core/bridge/MemoryManager.java, line(s) 22
com/tachikoma/core/component/input/InputType.java, line(s) 11

中危应用程序创建临时文件。敏感信息永远不应该被写进临时文件

CODE

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
c/t/c.java, line(s) 92
com/kwad/v8/NodeJS.java, line(s) 75
com/kwai/sodler/lib/c.java, line(s) 35

中危 IP地址泄露

CODE

IP地址泄露


Files:
com/zhulujieji/emu/ui/activity/CreateRoomActivity.java, line(s) 445,412

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
b/b/f/i/a.java, line(s) 5,6,23
b/i/a/d0/d.java, line(s) 5,125
b/i/a/d0/e.java, line(s) 4,5,14
c/x/a/g/a.java, line(s) 5,6,7,8,118
com/kwai/filedownloader/a/d.java, line(s) 5,6,7,159
com/kwai/filedownloader/a/e.java, line(s) 4,5,14
com/ss/android/downloadlib/d/b.java, line(s) 4,5,17

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

CODE

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/zhulujieji/emu/ui/activity/H5Activity.java, line(s) 232,231

中危应用程序包含隐私跟踪程序

TRACKERS

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

中危此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
"library_zxingandroidembedded_author" : "JourneyApps"
"library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/"
6160f49014e22b6a4f18464f
31f065607e6da6b741330d1df0b35460
077ef51ded2a1650d5e409c18387c756
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
2c6f402c6a565d2e6912b0013fa59380
9fdb96463da88869c684078dd11ae9a6
eff11bebb8a3c872fa30b0484b460d12
76308532f64b68fd5a930c42cceec22b
134d5f6dc9c04f3e818e7e6a53cfd68e
11945bb868bb4181e3bf37128358a7f1
03999a43b5c0df4c3bd12eec30fc2c9b
588843e5323f9fce493ad2ece2037704
QrMgt8GGYI6T52ZY5AnhtxkLzb8egpFn3j5JELI8H6wtACbUnZ5cc3aYTsTRbmkAkRJeYbtx92LPBWm7nBO9UIl7y5i5MQNmUZNf5QENurR5tGyo7yJ2G0MBjWvy6iAtlAbacKP0SwOUeUWx5dsBdyhxa7Id1APtybSdDgicBDuNjI0mlZFUzZSS9dmN8lBD0WTVOMz0pRZbR3cysomRXOO1ghqjJdTcyDIxzpNAEszN8RMGjrzyU7Hjbmwi6YNK
b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649

信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
b/a/a/a/g0.java, line(s) 104
b/a/a/a/m.java, line(s) 84,88,96,99,104,112
b/a/a/a/o.java, line(s) 161,193
b/a/a/a/r0.java, line(s) 270,281,294,305,316,329
b/a/a/a/s.java, line(s) 21
b/a/a/d/b.java, line(s) 44
b/a/a/d/c.java, line(s) 21
b/a/a/d/d.java, line(s) 60
b/a/a/d/e.java, line(s) 38
b/a/a/d/g.java, line(s) 16
b/a/a/d/h.java, line(s) 51
b/a/a/d/j.java, line(s) 47
b/a/a/h/z0/c.java, line(s) 35
b/a/a/i/v.java, line(s) 94
b/a/a/i/y.java, line(s) 229
b/c/a/a/a.java, line(s) 58,42
b/d/a/b.java, line(s) 219,232,237,240,249,261,218,225,231,236,239,248,255,353,226,354
b/d/a/h.java, line(s) 314,315
b/d/a/i.java, line(s) 86,85
b/d/a/k/a.java, line(s) 198
b/d/a/l/d.java, line(s) 171,198,168,197
b/d/a/l/e.java, line(s) 79,100,118,78,99,117
b/d/a/m/o/b.java, line(s) 51,50
b/d/a/m/o/j.java, line(s) 43,89,151,40,88,92,98,105,150,102,108
b/d/a/m/o/l.java, line(s) 52,51
b/d/a/m/o/o/b.java, line(s) 94,93
b/d/a/m/p/b0.java, line(s) 45,46
b/d/a/m/p/c0/i.java, line(s) 130,167,134,172
b/d/a/m/p/c0/j.java, line(s) 52,56,67,168,212,51,55,66,102,110,133,163,180,199,211,103,111,153,185,200
b/d/a/m/p/d0/e.java, line(s) 47,79,91,101,121,48,92,80,104,122
b/d/a/m/p/d0/j.java, line(s) 89,74
b/d/a/m/p/e0/a.java, line(s) 71,70
b/d/a/m/p/i.java, line(s) 543,168,223,542,374
b/d/a/m/p/j.java, line(s) 133,134
b/d/a/m/p/l.java, line(s) 19,157
b/d/a/m/p/r.java, line(s) 138
b/d/a/m/q/c.java, line(s) 16,15
b/d/a/m/q/d.java, line(s) 43,42
b/d/a/m/q/f.java, line(s) 98,97
b/d/a/m/q/s.java, line(s) 85,86
b/d/a/m/q/t.java, line(s) 38,37
b/d/a/m/r/a.java, line(s) 79,122,90,132
b/d/a/m/r/c/e0.java, line(s) 89,98,105,90,99,106,107,108,112
b/d/a/m/r/c/j.java, line(s) 21,26,22,29
b/d/a/m/r/c/l.java, line(s) 226,242,252,266,279,303,325,357,363,216,221,241,251,263,278,302,320,334,337,340,347,350,362
b/d/a/m/r/c/o.java, line(s) 51,61,57,67
b/d/a/m/r/c/t.java, line(s) 49,55,61,67,73,80,86,100,109,50,56,62,68,74,81,87,110,101
b/d/a/m/r/g/a.java, line(s) 61,125,132,139,69,128,135,142
b/d/a/m/r/g/d.java, line(s) 16,17
b/d/a/m/r/g/j.java, line(s) 48,49
b/d/a/n/e.java, line(s) 40,37,81,102,82,103
b/d/a/n/o.java, line(s) 63,64
b/d/a/n/p.java, line(s) 211,212,223
b/d/a/n/s.java, line(s) 68,75,69,76
b/d/a/q/h.java, line(s) 479,20,337,347
b/d/a/q/j/d.java, line(s) 40,86,87,41
b/d/a/q/j/j.java, line(s) 40,86,87,41
b/d/a/s/k/a.java, line(s) 46,49
b/f/a/c/i0/s.java, line(s) 56
b/f/a/c/r.java, line(s) 30
b/f/a/c/y.java, line(s) 62,71
b/f/a/g/a/u.java, line(s) 46
b/f/a/g/c/f.java, line(s) 25
b/f/a/g/c/h.java, line(s) 25
b/f/a/g/d/c.java, line(s) 25
b/f/a/h/m.java, line(s) 128,150,273
b/g/a/b/c/g.java, line(s) 46
b/g/a/b/s/c.java, line(s) 220
b/g/a/b/u/b.java, line(s) 104,140
b/g/a/b/v/a.java, line(s) 35
b/g/a/b/x/g.java, line(s) 267
b/g/c/s/a/f.java, line(s) 39,60
b/g/c/s/a/l/a/a.java, line(s) 12
b/h/a/j.java, line(s) 291,333,66,397,140,335
b/h/a/k.java, line(s) 82,105
b/h/a/o.java, line(s) 81
b/h/a/y/e.java, line(s) 74,94,107
b/h/a/y/f.java, line(s) 20,21,25,30,39,42
b/h/a/y/g.java, line(s) 36,53,84,110,40,72,98,135
b/h/a/y/h.java, line(s) 70,67,315,101,173,186,227,228,252,279,283,289,112,120,167,175
b/h/a/y/l.java, line(s) 28
b/h/a/y/n.java, line(s) 28
b/j/a/b.java, line(s) 780,814,782,788,792,793,803
b/j/a/f/o.java, line(s) 118
b/k/a/a/i/c/a.java, line(s) 40,45
b/l/a/c0.java, line(s) 127
c/a/d0.java, line(s) 400
c/a0/a/a/b.java, line(s) 257
c/c/a.java, line(s) 134,148,160
c/c/c/i.java, line(s) 202
c/c/c/l.java, line(s) 708,710,713,1229,1350,1353
c/c/c/u.java, line(s) 34
c/c/h/f.java, line(s) 128,162,174,184,343
c/c/i/b1.java, line(s) 445,450
c/c/i/c0.java, line(s) 86,95,167
c/c/i/c1.java, line(s) 93,159
c/c/i/f1.java, line(s) 21,31
c/c/i/g0.java, line(s) 129
c/c/i/j.java, line(s) 187
c/c/i/k.java, line(s) 121
c/c/i/m0.java, line(s) 355,160,165,172,258,338
c/c/i/o0.java, line(s) 109
c/c/i/p0.java, line(s) 45,60,84,103,336
c/c/i/t.java, line(s) 26
c/c/i/t0.java, line(s) 81,104,204,218
c/c/i/u0.java, line(s) 28
c/c/i/x.java, line(s) 88,117,122,127
c/g/a/d.java, line(s) 239
c/g/b/a/c.java, line(s) 506,118,421
c/g/c/a.java, line(s) 182,185,192,198,206
c/g/c/b.java, line(s) 83,108,122
c/g/c/c.java, line(s) 104
c/g/c/d.java, line(s) 802,1413,863,1337
c/i/b/e.java, line(s) 30
c/i/b/f.java, line(s) 562,571,585,605,989,1147,1178,646,656,681,690,1088,1097,1119,1128
c/i/d/c.java, line(s) 46,51
c/i/d/d.java, line(s) 40
c/i/d/e.java, line(s) 57
c/i/d/f.java, line(s) 44
c/i/d/g.java, line(s) 54,221
c/i/d/l/f.java, line(s) 44,67
c/i/f/c.java, line(s) 22
c/i/j/b.java, line(s) 55
c/i/j/c0.java, line(s) 235,313,75,87,94,103,46,302
c/i/j/e0/c.java, line(s) 60
c/i/j/h.java, line(s) 162,180,203
c/i/j/r.java, line(s) 544,487,543,185
c/i/j/w.java, line(s) 19,30
c/i/k/i.java, line(s) 19,18
c/k/b/e.java, line(s) 329
c/n/a/a.java, line(s) 298,790,799,835,918,988,1080,1101,1163,1176,1230,1298,1402,1412,1421,1429,49,878,891,962,1319
c/o/b/a.java, line(s) 25,141,154,166
c/o/b/b0.java, line(s) 33,41,49,57,63
c/o/b/c.java, line(s) 571,637,656,666
c/o/b/f0.java, line(s) 104,155,275,299,386,410,449,470,487,499,625,663,704,799,809,96,266,372,530,548,554,591,636,734
c/o/b/g0.java, line(s) 104,114
c/o/b/l.java, line(s) 103,271,306,327,343,448
c/o/b/u0.java, line(s) 18
c/o/b/v0.java, line(s) 77,150,159,164,172,207,230,249,263,349,407,425
c/o/b/y.java, line(s) 1737,1738,1749,418,273,892,1026,1077,1086,1177,1285,1298,1312,1333,1360,1403,1477,1484,1499,1512,1556,1564,1705,102,136,253
c/s/b/d.java, line(s) 81
c/t/a.java, line(s) 110,248,43,62,76,80,90,68,84,94,106,116,136,153,193
c/t/c.java, line(s) 49,60,62,95,116,192,86
c/u/a.java, line(s) 254,306
c/u/c/h.java, line(s) 45
c/v/p.java, line(s) 266,396
c/v/q.java, line(s) 78
c/v/v.java, line(s) 94,97,102
c/x/a/c.java, line(s) 21,25
c/x/a/g/b.java, line(s) 51
c/z/y.java, line(s) 38,64
cn/jzvd/JzvdStd.java, line(s) 129
com/kuaishou/tachikoma/api/TKContext.java, line(s) 79,155
com/kwad/tachikoma/config/b.java, line(s) 272
com/kwad/v8/debug/V8DebugServer.java, line(s) 302,251,346,433
com/kwai/library/widget/refresh/KwaiRefreshView.java, line(s) 136
com/kwai/library/widget/refresh/RefreshLayout.java, line(s) 272,279,260,323,331,489,500,511,522,647,895,911,991,1003,1015,1018,1022,1030,651
com/kwai/sodler/lib/a.java, line(s) 20,10,24
com/kwai/sodler/lib/e.java, line(s) 65,76
com/kwai/sodler/lib/ext/d.java, line(s) 147,173
com/oem/fbagame/util/JNIUtil.java, line(s) 118,158
com/stub/plugin/MyLog.java, line(s) 18,24
com/tachikoma/core/bridge/MemoryManager.java, line(s) 144,148,149
com/tachikoma/core/component/listview/TKBaseAdapter.java, line(s) 89
com/tachikoma/core/component/listview/viewpager/RecyclerViewPager.java, line(s) 94
com/tachikoma/core/component/listview/viewpager/ScrollEventAdapter.java, line(s) 171
com/tachikoma/core/log/Logger.java, line(s) 17,30
com/tachikoma/core/module/TKBusinessSchoolBridge.java, line(s) 31,41,51
com/tachikoma/core/utility/Console.java, line(s) 16,26
com/tachikoma/core/utility/TKAsync.java, line(s) 46,27,69
com/zhulujieji/emu/ui/activity/ClipPictureActivity.java, line(s) 60
com/zhulujieji/emu/ui/activity/retroactivity/RetroActivity.java, line(s) 606,194,461
com/zhulujieji/emu/utils/MiitHelper.java, line(s) 45,47
g/a/e.java, line(s) 27
g/a/g.java, line(s) 27,29,38,42
g/a/v.java, line(s) 31
g/a/w.java, line(s) 122,184,242,258,460,515,543,705,162,230,381,604,616,626,684,692
m/a/a/g.java, line(s) 10,15
m/b/b/a/a/a.java, line(s) 24
m/b/b/b/a/c.java, line(s) 106,99,102
m/b/b/b/a/d.java, line(s) 26

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

CODE

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
b/a/a/i/z.java, line(s) 5,61,84

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (download.az.rom2.jieji123.com) 通信。

DOMAINS

{'ip': '113.219.238.130', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '长沙', 'latitude': '28.200001', 'longitude': '112.966667'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.jieji.net) 通信。

DOMAINS

{'ip': '58.220.79.33', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (xz.kadianshipin.com) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.jieji.net) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.zhangwan.net) 通信。

DOMAINS

{'ip': '113.219.238.164', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '长沙', 'latitude': '28.200001', 'longitude': '112.966667'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。

DOMAINS

{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。

DOMAINS

{'ip': '58.222.29.214', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.123.jiameng.la) 通信。

DOMAINS

{'ip': '101.33.127.139', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。

DOMAINS

{'ip': '58.222.29.216', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。

DOMAINS

{'ip': '222.186.18.190', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}

安全分析报告： 逐鹿助手 v1.8

安全分数

安全分数 39/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 应用程序存在Janus漏洞

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危 使用弱加密算法

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击

中危 应用程序已启用明文网络流量

中危 应用程序数据可以被备份

中危 Activity (com.zhulujieji.emu.ui.activity.retroactivity.RetroActivity) 未被保护。

中危 Activity设置了TaskAffinity属性

中危 Activity (com.zhulujieji.emu.wxapi.WXEntryActivity) 未被保护。

中危 Broadcast Receiver (com.zhulujieji.emu.receiver.AppRegister) 受权限保护, 但是应该检查权限的保护级别。

中危 Broadcast Receiver (com.zhulujieji.emu.receiver.DownloadCompleteReceiver) 未被保护。

中危 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$RequestInstallPermissionActivity) 未被保护。

中危 SHA-1是已知存在哈希冲突的弱哈希

中危 应用程序使用不安全的随机数生成器

中危 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危 MD5是已知存在哈希冲突的弱哈希

中危 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危 IP地址泄露

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危 应用程序包含隐私跟踪程序

中危 此应用可能包含硬编码机密信息

信息 应用程序记录日志信息,不得记录敏感信息

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (download.az.rom2.jieji123.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.jieji.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (xz.kadianshipin.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.jieji.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.zhangwan.net) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.123.jiameng.la) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。

安全评分: ( 逐鹿助手 1.8)

安全分析报告：逐鹿助手 v1.8

高危应用程序存在Janus漏洞

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危使用弱加密算法

高危不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危应用程序已启用明文网络流量

中危应用程序数据可以被备份

中危应用程序使用不安全的随机数生成器

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危应用程序包含隐私跟踪程序

中危此应用可能包含硬编码机密信息

信息应用程序记录日志信息,不得记录敏感信息

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (download.az.rom2.jieji123.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.jieji.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (xz.kadianshipin.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.jieji.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.zhangwan.net) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.123.jiameng.la) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。