移动应用安全检测报告:
安全基线评分
安全基线评分 36/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
1
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
4
中危安全漏洞
11
安全提示信息
1
已通过安全项
0
重点安全关注
0
高危安全漏洞 Activity (com.pichillilorenzo.flutter_inappwebview_android.chrome_custom_tabs.ChromeCustomTabsActivitySingleInstance) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.pichillilorenzo.flutter_inappwebview_android.chrome_custom_tabs.TrustedWebActivitySingleInstance) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 379,15 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 120,8
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: i2/a.java, line(s) 75
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: a5/d.java, line(s) 4 a6/a.java, line(s) 3 a6/b$a.java, line(s) 3 a6/b.java, line(s) 3 b6/a.java, line(s) 3 c1/q1.java, line(s) 10 d2/p0$a.java, line(s) 4 g2/b.java, line(s) 12
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 153 com/dexterous/flutterlocalnotifications/models/NotificationDetails.java, line(s) 52,66 com/pichillilorenzo/flutter_inappwebview_android/credential_database/URLCredentialContract.java, line(s) 8,10 com/pichillilorenzo/flutter_inappwebview_android/types/ClientCertResponse.java, line(s) 89 com/pichillilorenzo/flutter_inappwebview_android/types/HttpAuthResponse.java, line(s) 81 com/pichillilorenzo/flutter_inappwebview_android/types/URLCredential.java, line(s) 91
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/pichillilorenzo/flutter_inappwebview_android/credential_database/CredentialDatabaseHelper.java, line(s) 4,5,18,19,25,26,36,37 g5/i.java, line(s) 9,10,11,12,13,351
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: j0/c.java, line(s) 116
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: l5/b.java, line(s) 55
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a1/a.java, line(s) 40 a1/b.java, line(s) 25 a1/c.java, line(s) 213
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a1/c.java, line(s) 128 com/baseflow/geolocator/GeolocatorLocationService.java, line(s) 119,133,136,148,153,166,173,178,183,194,211 com/baseflow/geolocator/a$a.java, line(s) 19,27 com/baseflow/geolocator/a.java, line(s) 41,67,94,126 com/baseflow/geolocator/b.java, line(s) 32 com/baseflow/geolocator/j.java, line(s) 237,225 com/baseflow/geolocator/m.java, line(s) 83,35,38,103,114,118,72 com/dexterous/flutterlocalnotifications/ActionBroadcastReceiver.java, line(s) 32,41 com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 1084,1142 com/dexterous/flutterlocalnotifications/ScheduledNotificationReceiver.java, line(s) 29 com/pichillilorenzo/flutter_inappwebview_android/MyCookieManager.java, line(s) 223,241 com/pichillilorenzo/flutter_inappwebview_android/Util.java, line(s) 241,198,208,225,279 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/ChromeCustomTabsActivity.java, line(s) 182 com/pichillilorenzo/flutter_inappwebview_android/chrome_custom_tabs/CustomTabsHelper.java, line(s) 39 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserActivity.java, line(s) 277,375 com/pichillilorenzo/flutter_inappwebview_android/in_app_browser/InAppBrowserManager.java, line(s) 154 com/pichillilorenzo/flutter_inappwebview_android/service_worker/ServiceWorkerManager.java, line(s) 71 com/pichillilorenzo/flutter_inappwebview_android/types/WebViewAssetLoaderExt.java, line(s) 59,112,120,138,187,192 com/pichillilorenzo/flutter_inappwebview_android/webview/JavaScriptBridgeInterface$2$1.java, line(s) 33 com/pichillilorenzo/flutter_inappwebview_android/webview/JavaScriptBridgeInterface$2$2.java, line(s) 33 com/pichillilorenzo/flutter_inappwebview_android/webview/JavaScriptBridgeInterface.java, line(s) 55,75 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/DisplayListenerProxy.java, line(s) 38 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/FlutterWebView.java, line(s) 115 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebView$8.java, line(s) 70,81,86 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebView.java, line(s) 327,343,346,828 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$1.java, line(s) 39 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$12.java, line(s) 45 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$16.java, line(s) 34 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$17.java, line(s) 31 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$18.java, line(s) 29 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$4.java, line(s) 45 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient$8.java, line(s) 58 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewChromeClient.java, line(s) 235,251,708 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$1.java, line(s) 36 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$2.java, line(s) 43 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$3.java, line(s) 35 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$4.java, line(s) 35 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$5.java, line(s) 36 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient$6.java, line(s) 33 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClient.java, line(s) 310,320,350,360,371 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewClientCompat.java, line(s) 104,261,325,364,374,404,414,425 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewRenderProcessClient$1.java, line(s) 28 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InAppWebViewRenderProcessClient$2.java, line(s) 28 com/pichillilorenzo/flutter_inappwebview_android/webview/in_app_webview/InputAwareWebView.java, line(s) 60,68,76,101,148 d3/d.java, line(s) 121,167,174 d3/h.java, line(s) 51,94,100,109,112 d3/i.java, line(s) 41 d3/l.java, line(s) 24 d3/s.java, line(s) 49 d3/w.java, line(s) 25 f3/c0.java, line(s) 47 f5/d.java, line(s) 117,143 g3/a.java, line(s) 17 g3/b0.java, line(s) 94,97,123,126,129,160,168 g3/c.java, line(s) 176,194,360,364,368,374 g3/e0.java, line(s) 28 g3/e1.java, line(s) 49,54 g3/i1.java, line(s) 35 g3/r0.java, line(s) 34 g3/u0.java, line(s) 91 g3/v0.java, line(s) 28 g3/w0.java, line(s) 32 g3/y0.java, line(s) 40 g5/c0$b.java, line(s) 32,36 g5/c0.java, line(s) 45,108,123,164,177,183,200,205,246,255,315,250 g5/e0.java, line(s) 25 g5/i.java, line(s) 157,207,280,357,397,467,573,380 j0/a.java, line(s) 186,223,274,63,70,72,78,209,216,227,258,36,66,74,81,94,103,115,175,189 j0/c.java, line(s) 57,68,70,97,99,117,138,178,220,242,291,301,304,308,93,101,110,230,246,261,299 j3/b.java, line(s) 58,69 k3/f.java, line(s) 67,45,54,81 l4/a.java, line(s) 96 l4/b.java, line(s) 112,150 l4/c.java, line(s) 31,42,52 n0/b.java, line(s) 78 n5/b.java, line(s) 144,340,395 r6/a.java, line(s) 119,163,167,172,182,186,190,210 s0/j.java, line(s) 52,118 t/e$b.java, line(s) 27 t/e$c.java, line(s) 27 t0/b.java, line(s) 124,134,154 t4/e.java, line(s) 29,22,18,24 u3/a.java, line(s) 74,78 v/l.java, line(s) 189 v0/a.java, line(s) 20 v0/t.java, line(s) 38,58,62,202,210,216,224 v0/v.java, line(s) 56,60,65 v0/x.java, line(s) 62 y/d.java, line(s) 136 y2/r.java, line(s) 36,31,41,26