移动应用安全检测报告:
安全基线评分
安全基线评分 42/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
2
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
2
中危安全漏洞
11
安全提示信息
1
已通过安全项
0
重点安全关注
1
高危安全漏洞 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: b/g/a/j/a/c.java, line(s) 155,154 com/share/find/html/activity/FullGameActivity.java, line(s) 40,38
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Broadcast Receiver (com.share.find.task.service.TaskService) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b/g/a/r/b.java, line(s) 53 c/b1/u.java, line(s) 9 c/b1/y.java, line(s) 6 c/m1/a.java, line(s) 9 c/m1/b.java, line(s) 4 c/m1/c.java, line(s) 4
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b/f/a/s0/h.java, line(s) 572,572 b/g/a/l/c.java, line(s) 45,51,58 b/g/a/p/a.java, line(s) 57,61,62 b/g/a/r/c.java, line(s) 66
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 79 d/b/a/a/a/a.java, line(s) 168
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: b/c/a/n/e.java, line(s) 87 b/c/a/n/k/c.java, line(s) 40 b/c/a/n/k/n.java, line(s) 91 b/c/a/n/k/u.java, line(s) 75
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: b/f/a/j0/d.java, line(s) 5,114,285,308 b/f/a/j0/e.java, line(s) 5,6,19,20,43,44,47,48
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/share/find/html/activity/FullGameActivity.java, line(s) 108,100 com/share/find/html/view/HtmlView.java, line(s) 18,34
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/share/find/html/activity/FullGameActivity.java, line(s) 133,100
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "anythink_myoffer_feedback_violation_of_laws" : "Illegal" 65e6999871e92b7f936a4781 b496f2beb340c9b0065ce3f825109f1c
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b/c/a/l/a.java, line(s) 472 b/c/a/m/d.java, line(s) 91,122,90,121 b/c/a/m/f.java, line(s) 547,571,577,546,570,576,732,741 b/c/a/n/j/b.java, line(s) 48,47 b/c/a/n/j/j.java, line(s) 52,148,51,147,151,157,164,161,165 b/c/a/n/j/l.java, line(s) 49,48 b/c/a/n/j/o/c.java, line(s) 113,112 b/c/a/n/j/o/e.java, line(s) 80,79 b/c/a/n/k/a0/a.java, line(s) 88,87 b/c/a/n/k/g.java, line(s) 55,56 b/c/a/n/k/i.java, line(s) 31,196 b/c/a/n/k/w.java, line(s) 34,35 b/c/a/n/k/x/j.java, line(s) 113,154,114,155 b/c/a/n/k/x/k.java, line(s) 129,172,183,195,93,128,138,161,171,182,194,221,228,99,139,222,229,162 b/c/a/n/k/y/e.java, line(s) 61,67,95,105,118,130,62,96,68,108,119,131 b/c/a/n/k/y/l.java, line(s) 167,151 b/c/a/n/k/z/a.java, line(s) 96,93 b/c/a/n/k/z/b.java, line(s) 44,43 b/c/a/n/l/c.java, line(s) 20,19 b/c/a/n/l/d.java, line(s) 44,43 b/c/a/n/l/f.java, line(s) 104,103 b/c/a/n/l/s.java, line(s) 105,108 b/c/a/n/l/t.java, line(s) 40,39 b/c/a/n/m/c/b0.java, line(s) 132,129 b/c/a/n/m/c/m.java, line(s) 196,203,283,293,305,317,335,345,348,351,354,357,371,376,195,202,282,292,304,316,334,344,347,350,353,356,370,375 b/c/a/n/m/c/n.java, line(s) 87,104,86,103,177,213,229,178,214,304 b/c/a/n/m/c/o.java, line(s) 46,52,47,53 b/c/a/n/m/c/s.java, line(s) 44,45 b/c/a/n/m/c/y.java, line(s) 290,113,118,162,171,178,287,114,119,163,172,179,180,181,185 b/c/a/n/m/g/a.java, line(s) 77,82,87,96,78,83,88,97 b/c/a/n/m/g/d.java, line(s) 26,27 b/c/a/n/m/g/j.java, line(s) 40,43 b/c/a/o/e.java, line(s) 33,32,55,74,56,75 b/c/a/o/f.java, line(s) 20,19 b/c/a/o/k.java, line(s) 158,159 b/c/a/o/l.java, line(s) 252,253,264 b/c/a/o/n.java, line(s) 111,112 b/c/a/o/o.java, line(s) 154,155 b/c/a/p/e.java, line(s) 53,60,71,76,52,59,64,70,75,65 b/c/a/r/k/f.java, line(s) 78,119,120,79 b/c/a/r/k/r.java, line(s) 76,117,118,77 b/c/a/s/a.java, line(s) 25 b/c/a/t/c.java, line(s) 47,46 b/c/a/t/n/a.java, line(s) 59,60 b/e/a/b/b/h.java, line(s) 68 b/e/a/b/r/d.java, line(s) 28,38 b/e/a/b/u/d.java, line(s) 160,192 b/g/a/r/d.java, line(s) 16,32,37,47,57,63 c/i1/c.java, line(s) 17,22,27,32,37,42,47,52,57,63,68,73,78,83,88,93,98,103,108,113,119 com/anythink/banner/api/ATBannerView.java, line(s) 354,370,375,526 com/anythink/interstitial/a/a.java, line(s) 78 com/anythink/interstitial/a/c.java, line(s) 84,224,229,234,131,133,172,174 com/anythink/interstitial/api/ATInterstitial.java, line(s) 200,211,224 com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 47,50 d/b/b/b/a/b.java, line(s) 30,50 d/b/b/c/a/c.java, line(s) 164,56,176,184 d/b/b/c/a/d.java, line(s) 28 e/p/e/e.java, line(s) 60 e/p/e/j.java, line(s) 24 e/s/c.java, line(s) 228
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (qq.ahaozhuan.com) 通信。
{'ip': '47.107.40.90', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}