安全分析报告: 黑料网 v1.0.0

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 8
信息 2
安全 1
关注 0

高危 应用程序使用了调试证书进行签名 

应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
e/d/a/a.java, line(s) 3083
e/e/b.java, line(s) 109
io/flutter/plugins/imagepicker/c.java, line(s) 48
io/flutter/plugins/imagepicker/e.java, line(s) 248

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/d/b/d1.java, line(s) 105
h/a/a/c/a.java, line(s) 87

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
f/e/a/a/b4/t0.java, line(s) 4
f/e/a/a/t3/q1.java, line(s) 10
j/w/a.java, line(s) 3
j/w/b.java, line(s) 4
j/w/d/a.java, line(s) 4

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
f/c/a/a.java, line(s) 39
f/d/b/n0.java, line(s) 967
io/flutter/plugins/b/g.java, line(s) 125,147
io/flutter/plugins/b/i.java, line(s) 103,112

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
e/d/a/a.java, line(s) 308,1133,1155,1280,1283,1292,1297,1332,1353,1360,1376,1388,1421,1436,1444,1450,1503,1513,1529,1558,1596,1678,1725,1919,1951,2027,2113,2247,2329,2345,2364,2371,2552,2603,2623,2636,2668,2694,2813,2853,2858,2864,2929,3283,3338,3395,3508,3518,3544,3585,711,719,753,765,777,789,801,813,825,837,849,856,867,879,87,862,1213,1993,2007,2515,2826,2828,2830,3275,3297,3467
e/d/a/b.java, line(s) 55
e/e/a.java, line(s) 308,349,407,191,198,200,206,331,342,353,391,104,135,194,202,209,222,238,293,311
e/e/b.java, line(s) 50,61,63,90,92,110,129,165,207,229,284,292,295,299,86,94,103,217,233,248,255,290
f/a/a/j.java, line(s) 16
f/a/a/n.java, line(s) 42,65,68,312,320,326,331
f/a/a/o.java, line(s) 224,228,233
f/a/a/p.java, line(s) 59
f/b/a/b.java, line(s) 327,381,356
f/b/a/c.java, line(s) 135,152,327,365,605,147,692
f/b/a/f.java, line(s) 20,33,56
f/b/a/i.java, line(s) 23,33,53
f/c/a/a.java, line(s) 134,151
f/e/a/a/f4/t.java, line(s) 36,26,21,31
i/a/b.java, line(s) 9,13,23,27,31
io/flutter/plugins/b/i.java, line(s) 157
io/flutter/plugins/e/a.java, line(s) 74
io/flutter/plugins/e/d.java, line(s) 247
io/flutter/plugins/e/e.java, line(s) 51,59,79,99
io/flutter/plugins/imagepicker/b.java, line(s) 21
io/flutter/plugins/imagepicker/g.java, line(s) 35
io/flutter/plugins/urllauncher/a.java, line(s) 58,47
io/flutter/plugins/urllauncher/b.java, line(s) 31,34
io/flutter/plugins/urllauncher/c.java, line(s) 12,30,45
tv/danmaku/ijk/media/player/g/a.java, line(s) 10,16,22,28,38

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
i/a/c/d/e.java, line(s) 7,236
io/flutter/plugin/editing/b.java, line(s) 4,71,80

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( 黑料网 1.0.0)