应用安全检测报告

应用安全检测报告，支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

Card-Pay v1.0.0

Android APK 1275cfe9...

安全评分

安全基线评分

57/100

低风险

综合风险等级

风险等级评定

应用存在一定安全风险，建议优化

漏洞与安全项分布

0 高危

8 中危

2 信息

1 安全

隐私风险评估

第三方跟踪器

隐私安全
未检测到第三方跟踪器

检测结果分布

高危安全漏洞 0

中危安全漏洞 8

安全提示信息 2

已通过安全项 1

重点安全关注 0

中危安全漏洞应用数据存在泄露风险

MANIFEST

未设置[android:allowBackup]标志
建议将 [android:allowBackup] 显式设置为 false。默认值为 true，允许通过 adb 工具备份应用数据，存在数据泄露风险。

中危安全漏洞 Service (com.mxtech.remote_nfc.ApduService) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.BIND_NFC_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
Q/f.java, line(s) 14
V0/a.java, line(s) 3
V0/b.java, line(s) 3
V0/c.java, line(s) 4
w0/a.java, line(s) 4

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/cf/msc/sdk/AppVest.java, line(s) 149,205
h0/d.java, line(s) 87,195,303,411,519,627,737,452,668

中危安全漏洞此应用程序可能会请求root（超级用户）权限

CODE

此应用程序可能会请求root（超级用户）权限
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/cf/msc/sdk/CheckHook.java, line(s) 34,50,63,50

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/cf/msc/sdk/SignCheck.java, line(s) 54

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
jK+cJgNxUHdPnXNvTUJ0nUHc58yIqvzIieArYZ6VNtwCZXB8pc0WSX0RYUKsSCIepKfHUU3YrdkMeEVUgnoeT3PgvbAbTxRb6yZnxI0sgLnoROd5nN4D67RExtzY1MWETga8VWO4r0D6SWBeSBOwpXhB18s72OwhOI9YVSSfdfMSs0hBG52l/MCto9PTJjXWPfvb+pHEVjFcUKVHf22Wl+X4
VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy
f2c1e85809c87a89af120170c33fa132

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
C0/c.java, line(s) 53
C0/o.java, line(s) 22
D0/a.java, line(s) 31,47
L0/o.java, line(s) 225,232,238,640
S0/c.java, line(s) 46
S0/f.java, line(s) 52,53
S0/o.java, line(s) 26
T/f.java, line(s) 80
U0/AbstractActivityC0263d.java, line(s) 154,267,336,420,132,138,148,181,239,260,415
U0/C0262c.java, line(s) 24,38,50,66
U0/C0267h.java, line(s) 154,75
U0/C0268i.java, line(s) 45,50
U0/C0270k.java, line(s) 48,66,75
U0/C0272m.java, line(s) 38,50,59
U0/C0275p.java, line(s) 151,188,317
U0/s.java, line(s) 44,73
U0/w.java, line(s) 48
V0/C0283e.java, line(s) 97,44
Y0/f.java, line(s) 125
Z/l.java, line(s) 146
b1/AbstractC0121y.java, line(s) 181
com/cf/msc/sdk/AppVest.java, line(s) 138,248,398
com/cf/msc/sdk/NetHelper.java, line(s) 104,121
com/mxtech/remote_nfc/ApduService.java, line(s) 28,37
com/mxtech/remote_nfc/MainActivity.java, line(s) 34,32
h/C0138a.java, line(s) 719,764,217,236,306,351,355,762,831,835,924,955,967,973,985,988
h/C0141d.java, line(s) 87,137
h/C0142e.java, line(s) 155
h0/d.java, line(s) 839
i0/C0025a.java, line(s) 345,394,397,205,208,211
i0/C0026b.java, line(s) 1156
i0/C0034j.java, line(s) 30
i0/P.java, line(s) 124
j/AbstractC0166E.java, line(s) 131
j/C0163B.java, line(s) 89,98,168,202
j/C0201w.java, line(s) 38,77
j/G0.java, line(s) 21
j/T.java, line(s) 241,76,81,224
j/W.java, line(s) 23
j/p0.java, line(s) 92,115,214,228
j/r.java, line(s) 35
j/v0.java, line(s) 242,252,260,365,380,384,167
r/e.java, line(s) 51
r/f.java, line(s) 58,117
u/b.java, line(s) 21
w/r.java, line(s) 50,53,56,59
w0/b.java, line(s) 40
w0/k.java, line(s) 109
y/AbstractC0293D.java, line(s) 30
y/AbstractC0312q.java, line(s) 81
y/C0294E.java, line(s) 28,40,47,56
y/C0302g.java, line(s) 30,43,86,145,186
y/I.java, line(s) 59,76,50
y1/f.java, line(s) 267,268,273

安全提示信息应用程序可以写入应用程序目录。敏感信息应加密

CODE

应用程序可以写入应用程序目录。敏感信息应加密


Files:
i0/C0034j.java, line(s) 66

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

Card-Pay v1.0.0

Android APK

综合安全评分

中风险

导航菜单

应用安全检测报告

移动应用安全检测报告

Card-Pay v1.0.0

安全基线评分

57/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

中危安全漏洞 应用数据存在泄露风险

中危安全漏洞 Service (com.mxtech.remote_nfc.ApduService) 受权限保护，但应检查权限保护级别。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 应用程序使用不安全的随机数生成器

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 此应用程序可能会请求root（超级用户）权限

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分总结

Card-Pay v1.0.0

中危安全漏洞应用数据存在泄露风险

中危安全漏洞应用程序使用不安全的随机数生成器

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞此应用程序可能会请求root（超级用户）权限

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

安全提示信息应用程序可以写入应用程序目录。敏感信息应加密

已通过安全项此应用程序没有隐私跟踪程序