阅站漫画 v5.55.00版本 - 安全评分 _南明离火移动安全分析平台

安全基线评分

安全基线评分 35/100

综合风险等级

风险等级评定

漏洞与安全项分布（%）

隐私风险

检测到的第三方跟踪器数量

检测结果分布

高危安全漏洞 2

中危安全漏洞 5

安全提示信息 1

已通过安全项 0

重点安全关注 0

高危安全漏洞应用程序容易受到 Janus 漏洞的影响

CERTIFICATE

应用程序使用 v1 签名方案进行签名，如果仅使用 v1 签名方案进行签名，则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。

高危安全漏洞不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

CODE

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/net/hardware/game/GameActivity.java, line(s) 42,40
com/net/hardware/game/WebActivity.java, line(s) 235,234

中危安全漏洞应用程序已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

中危安全漏洞可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

CODE

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/net/hardware/game/GameActivity.java, line(s) 74,66
com/net/hardware/game/HtmlView.java, line(s) 18,34

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
XI/K0/XI/XI.java, line(s) 78

中危安全漏洞应用程序包含隐私跟踪程序

TRACKERS

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
"anythink_myoffer_feedback_violation_of_laws" : "Illegal"
"dyStrategy.privateAddress" : "privateAddress"

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/anythink/banner/api/ATBannerView.java, line(s) 347,363,368,514
com/anythink/interstitial/a/a.java, line(s) 71,335,403
com/anythink/interstitial/a/c.java, line(s) 79,196,201,206,126,128,167,169
com/anythink/interstitial/api/ATInterstitial.java, line(s) 197,208,221
com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 47,50
com/net/hardware/index/view/MainActivity.java, line(s) 201,202

移动应用安全检测报告：阅站漫画 v5.55.00

安全基线评分

安全基线评分 35/100

综合风险等级

风险等级评定

漏洞与安全项分布（%）

隐私风险

检测到的第三方跟踪器数量

检测结果分布

高危安全漏洞应用程序容易受到 Janus 漏洞的影响

高危安全漏洞不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危安全漏洞应用程序已启用明文网络流量

中危安全漏洞可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

中危安全漏洞应用程序包含隐私跟踪程序

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

综合安全基线评分: ( 阅站漫画 5.55.00)

移动应用安全检测报告： 阅站漫画 v5.55.00

安全基线评分

安全基线评分 35/100

综合风险等级

风险等级评定

漏洞与安全项分布（%）

隐私风险

检测到的第三方跟踪器数量

检测结果分布

高危安全漏洞 应用程序容易受到 Janus 漏洞的影响

高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危安全漏洞 应用程序已启用明文网络流量

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

中危安全漏洞 应用程序包含隐私跟踪程序

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

综合安全基线评分: ( 阅站漫画 5.55.00)

移动应用安全检测报告：阅站漫画 v5.55.00

高危安全漏洞应用程序容易受到 Janus 漏洞的影响

高危安全漏洞不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危安全漏洞应用程序已启用明文网络流量

中危安全漏洞可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危安全漏洞应用程序包含隐私跟踪程序

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息