安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
2
中危
18
信息
1
安全
0
关注
0
高危 应用程序使用了调试证书进行签名
应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/mbridge/msdk/click/f.java, line(s) 121,13,14 com/mbridge/msdk/mbbanner/common/bridge/BannerExpandDialog.java, line(s) 161,14 com/mbridge/msdk/mbbanner/common/c/c.java, line(s) 856,13
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity-Alias (com.example.mmm.two) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.example.mmm.one) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.example.mmm.Admin.ReceiverDeviceAdmin) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.example.mmm.replace_2) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.example.mmm.replace_3) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.example.mmm.Receiver.bootReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.example.mmm.Service.srvSccessibility) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 高优先级的Intent (121) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (979) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/mbridge/msdk/MBridgeConstans.java, line(s) 14,46 com/mbridge/msdk/click/b/a.java, line(s) 34 com/microsoft/office/watson/Utils.java, line(s) 41,23 com/microsoft/tokenshare/AccountInfo.java, line(s) 11
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/microsoft/security/oss/a.java, line(s) 189,193
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/mbridge/msdk/mbsignalcommon/base/BaseWebView.java, line(s) 98,95
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/microsoft/office/ui/controls/TellMe/TellMeControlViewProvider.java, line(s) 65
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/microsoft/office/ui/controls/insights/InsightsPaneContent.java, line(s) 245,241
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 a5be7b1c-2d9e-f330-e824-8fc73a4eb4a4 f3b77c67-df61-ae1a-9986-41cb05b47170 1271869c-f7f7-4420-869f-5f2ac9fdc16b 061c05b1-c64d-f8f7-07ed-4c4656851526 cd00d55b-e342-4bde-b494-5dc5abb14e01 4fd5f506-2c99-bec7-2e0e-438b581e42e8 9c7058d3-c20e-d214-1498-2d7d8edce60f ddda02ba-d8c7-609c-f23e-562e392a1615
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/exclude/dune/ITrGxWtGgGkJbPaWyDfHkZiTkRdPpPtXiRoNnEbEjEsOaFxSiCgPb.java, line(s) 154,167 com/exclude/dune/POmKoKyIaWjDnHbGwFbSwIa.java, line(s) 154,167 com/exclude/gentle/DCwHsXeAeTnZlJcYuFbGzZbAzEhAwUbKiAlApTqNeNbZeOjMrFpRk.java, line(s) 154,167 com/exclude/hour/DXwJmTmFoIkPzQrNrMaXlGwQzUcTt.java, line(s) 154,167 com/exclude/hour/SNqZhIdQaBaYrLuHlFqPjEaRbQiScRfRdSqSy.java, line(s) 154,167 com/exclude/regret/DIuLiOeKlKnMrYoJzZeKnRoJsOoApSwDfClTi.java, line(s) 154,167 com/exclude/regret/OHtEuAeTmJcPhXrBnStOlFiLwAjYtGqBoHhRsFnHfWj.java, line(s) 154,167 com/exclude/regret/RLtZnRuBlUaJwZkXqZqAxLzIrDdCjPrHlNmZfDkNrXgKgFjLiAgIcSd.java, line(s) 154,167 com/exclude/regret/RSmSsRoWdZuYpBm.java, line(s) 154,167 com/exclude/regret/connect/LZsTlJt.java, line(s) 154,167 com/exclude/regret/remove/EEuWjGeSgNbYzRkDqPwOjPrUxKsJkWcJpAmIbXzXdEjSj.java, line(s) 154,167 com/exclude/regret/remove/KAmUiPdKqGgQjBzGgGlAtHnOkFsGkMhNlKfEsBtZw.java, line(s) 154,167 com/exclude/regret/school/IQlCaHwRnJcStLpOrKbRtOaWkTsApLyWnUkDqQwFhZmPrUn.java, line(s) 154,167 com/mbridge/msdk/dycreator/a/a.java, line(s) 140,95,96,97,102,108,110,148,215,228,339 com/mbridge/msdk/dycreator/a/b.java, line(s) 241 com/mbridge/msdk/dycreator/baseview/MBButton.java, line(s) 126 com/mbridge/msdk/dycreator/baseview/MBGridView.java, line(s) 100 com/mbridge/msdk/dycreator/baseview/MBRelativeLayout.java, line(s) 60,121,68 com/mbridge/msdk/dycreator/baseview/MBScrollView.java, line(s) 39,102,105 com/mbridge/msdk/dycreator/baseview/MBTextView.java, line(s) 116,433 com/mbridge/msdk/dycreator/bus/BackgroundPoster.java, line(s) 40 com/mbridge/msdk/dycreator/bus/EventBus.java, line(s) 280,453,455,459,198,227,242 com/mbridge/msdk/dycreator/e/f.java, line(s) 11 com/microsoft/office/telemetryarialistener/AriaNotificationsManager.java, line(s) 36,39,45,49,52,72,80,89,103,110 com/microsoft/office/tokenshare/a.java, line(s) 35,39,45,51,66,75,121,134 com/microsoft/office/ui/controls/Gallery/i.java, line(s) 46,275 com/microsoft/office/ui/controls/Silhouette/Silhouette.java, line(s) 892,897,902,907,1786,1794,1797 com/microsoft/office/ui/controls/TellMe/GroupType.java, line(s) 26 com/microsoft/office/ui/controls/TellMe/ResultBindingType.java, line(s) 23 com/microsoft/office/ui/controls/datasourcewidgets/behaviors/ControlBehavior.java, line(s) 47 com/microsoft/office/ui/controls/datasourcewidgets/behaviors/FSImmersiveGalleryToggleButtonBehavior.java, line(s) 61 com/microsoft/office/ui/controls/datasourcewidgets/behaviors/f.java, line(s) 368 com/microsoft/office/ui/controls/presence/PresenceViewManager.java, line(s) 233 com/microsoft/office/watson/a.java, line(s) 632,641 com/microsoft/office/watson/b.java, line(s) 42,45 com/microsoft/security/oss/a.java, line(s) 95 com/microsoft/tokenshare/g.java, line(s) 48