安全分析报告:
安全分数
安全分数 63/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
0
中危
12
信息
2
安全
3
关注
1
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: d3/a.java, line(s) 3 d3/b.java, line(s) 4 e3/a.java, line(s) 4
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,51,73,97 y/m0.java, line(s) 5,6,266,300,319,328,378,485,502,758 y/t0.java, line(s) 4,5,135
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: d1/b.java, line(s) 78 e1/e.java, line(s) 85 e1/w.java, line(s) 128
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: m/a.java, line(s) 12,13 org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 197
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: w1/c.java, line(s) 81
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: w1/b.java, line(s) 55
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: org/cocos2dx/javascript/utils/Utils.java, line(s) 13
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 openinstall统计的=> "com.openinstall.APP_KEY" : "@string/openinstall" "com.google.firebase.crashlytics.mapping_file_id" : "5ff44c1ae0f84775a82aa37787c40a63" "google_api_key" : "AIzaSyBcTFc4SPOuu7o1D1pH5As6pCgI6-ZVRa0" "google_app_id" : "1:49004513756:android:e7416f6e5a041d3c576719" "google_crash_reporting_api_key" : "AIzaSyBcTFc4SPOuu7o1D1pH5As6pCgI6-ZVRa0" 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 470fa2b4ae81cd56ecbcda9735803434cec591fa
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c1/t.java, line(s) 192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210 com/qw/soul/permission/InitProvider.java, line(s) 28 com/qw/soul/permission/c.java, line(s) 127,226 d0/b.java, line(s) 63,76,52 d0/c.java, line(s) 84,97,122,170,185,280,82,96,121,165,184,275,118,134,146,192,213,254 d0/g.java, line(s) 15,12,12 d0/q.java, line(s) 39,79,145,35,77,92,140,190,218,247,280,93,191,219,248,281,47,180 d0/r.java, line(s) 25 d0/t.java, line(s) 35,49,27,41 d0/w.java, line(s) 51,46 d0/x.java, line(s) 50,33,70 d2/e0.java, line(s) 270,340,363,375,272,311 d2/h.java, line(s) 28 d2/h0.java, line(s) 81,99,206,222,231,293,313,115,321 d2/k0.java, line(s) 37 d2/l.java, line(s) 58,85,118,125 d2/y.java, line(s) 129 e2/a.java, line(s) 121,125,151 f2/c.java, line(s) 108,450,470,130,343,437 j0/b.java, line(s) 52,63 k0/h.java, line(s) 175,66,73,148,157,192,224 k2/a.java, line(s) 11,21 m/b.java, line(s) 125,108,112,74,131,135,150 org/cocos2dx/javascript/AppActivity.java, line(s) 81 org/cocos2dx/javascript/bridge/GameShare.java, line(s) 95 org/cocos2dx/javascript/bridge/sdk/OpenInstallSdk.java, line(s) 19,26,49 org/cocos2dx/lib/CanvasRenderingContext2DImpl.java, line(s) 85,209 org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 403,405,410,459,504,521,537,553,144,268,166,463 org/cocos2dx/lib/Cocos2dxAudioFocusManager.java, line(s) 59,61,64,67,73,92,101,95,103 org/cocos2dx/lib/Cocos2dxDownloader.java, line(s) 204,301 org/cocos2dx/lib/Cocos2dxEditBox.java, line(s) 283,306 org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 245 org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 391,398,314,316,319,165 org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 101,114,128,158,181,245,279,295,322,334,310 org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 57,29 org/cocos2dx/lib/Cocos2dxReflectionHelper.java, line(s) 26,35,52,60,64,72,81,97,104,113,120,137,145,149,157 org/cocos2dx/lib/Cocos2dxVideoHelper.java, line(s) 76,95,114,133,152,389,394 org/cocos2dx/lib/Cocos2dxVideoView.java, line(s) 136,421,315,324 org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 87,95,138 r/k.java, line(s) 36,65,72,75,92,97,102,107,112 r0/a.java, line(s) 75,111,176 t0/f.java, line(s) 238,177,181,193 u/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 w0/g.java, line(s) 33,40,43,52,86 w0/o.java, line(s) 133 w1/b.java, line(s) 59,76 x1/c.java, line(s) 94,97,119,127,128,149,155 z0/g.java, line(s) 31,41,18,51,61,71
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 6,95
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: c1/j.java, line(s) 287,287,288
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 318,316,318,314,315,315
安全 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/49004513756/namespaces/firebase:fetch?key=AIzaSyBcTFc4SPOuu7o1D1pH5As6pCgI6-ZVRa0 ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (firebase-settings.crashlytics.com) 通信。
{'ip': '220.181.174.162', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}