安全分析报告:
安全分数
安全分数 46/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
1
中危
12
信息
1
安全
0
关注
1
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/a/a/a/a/a.java, line(s) 10,17
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.baidu.liantian.LiantianActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.baidu.liantian.LiantianProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (2147483647)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: f/a/a/a/b/c.java, line(s) 43 f/a/b/a/a/a.java, line(s) 8 i/w/a.java, line(s) 3 i/w/b.java, line(s) 4 i/w/d/a.java, line(s) 4
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: f/a/a/a/b/c.java, line(s) 125,146,580,606,727,729,769
中危 IP地址泄露
IP地址泄露 Files: f/a/b/a/a/c.java, line(s) 156,159,159,157,157,156
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/a/a/a/a/c.java, line(s) 26
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/a/a/a/a/d.java, line(s) 9
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度统计的=> "BaiduMobAd_CHANNEL" : "btc2100" 百度统计的=> "BaiduMobAd_STAT_ID" : "26291de706" 凭证信息=> "seckey_avscan" : "660346260f8a841a04ec2a56815b421b" 凭证信息=> "appkey_avscan" : "100034"
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/baidu/vis/unified/license/AndroidLicenser.java, line(s) 71,73,75,48,56 com/baidu/vis/unified/license/BDLicenseActivator.java, line(s) 41,47,52,57,65,66,69,79,73 com/baidu/vis/unified/license/HttpUtils.java, line(s) 66,86,106,152,167,193,219,247,252,267,282,335,353,371 com/baidu/vis/unified/license/LicenseNewReader.java, line(s) 30,33,36,54,87,102,112,122,144,154,182,192,200 com/baidu/vis/unified/license/LicenseReaderUtils.java, line(s) 43,50,56,86,106,112,116,132,135,138,142,152,172,200,209,232,245,276,285 e/a/k/a/a.java, line(s) 93 e/a/m/d.java, line(s) 128,164,235 e/d/d/b/b.java, line(s) 71 e/d/d/b/f.java, line(s) 195,206,217,263 e/d/e/b.java, line(s) 104,109 e/d/e/d.java, line(s) 70 e/d/e/e.java, line(s) 38,61 e/d/e/f.java, line(s) 52,94 e/d/e/i.java, line(s) 67,70 e/d/e/j.java, line(s) 167 e/d/g/c.java, line(s) 21 e/d/j/c.java, line(s) 19 e/d/k/b.java, line(s) 34 e/d/k/b0/c.java, line(s) 132 e/d/k/e.java, line(s) 18,27 e/d/k/g.java, line(s) 14 e/d/k/u.java, line(s) 496 e/d/k/v.java, line(s) 15 e/d/k/x.java, line(s) 25,52,73,94,109,124,145 e/i/a/b.java, line(s) 30,39,79 e/k/a/c.java, line(s) 261,425,439,459 e/m/a/a/i.java, line(s) 987 e/n/a/b.java, line(s) 999,1991 f/a/a/a/b/c.java, line(s) 338,317,324 f/a/b/a/a/l/a.java, line(s) 43,106 f/a/b/a/a/p/c.java, line(s) 155,278 f/a/b/a/a/p/d.java, line(s) 156,296 f/a/b/a/a/q/c.java, line(s) 575 f/a/b/a/a/q/l/a.java, line(s) 21 f/a/b/a/a/q/l/e.java, line(s) 28 f/a/b/a/a/r/e.java, line(s) 32 f/b/a/a/a/a.java, line(s) 58 f/b/b/a/a/c/a.java, line(s) 66,71,76 f/b/b/a/a/e/c.java, line(s) 145,213,216,224 h/a/b.java, line(s) 10,14,18,28
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aip.baidubce.com) 通信。
{'ip': '180.97.107.95', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}