安全分析报告:
安全分数
安全分数 45/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
4
中危
37
信息
3
安全
0
关注
18
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 域配置配置为信任用户安装的证书。
Scope: i.snssdk.com is.snssdk.com pangolin.snssdk.com extlog.snssdk.com sf3-ttcdn-tos.pstatp.com bds.snssdk.com dig.bdurl.net
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/aczk/acsqzc/activity/BaseExcessActivity.java, line(s) 47,41 com/aczk/acsqzc/activity/SeedWebViewActivity.java, line(s) 72,66 com/aczk/acsqzc/activity/SeedingLoadingActivity.java, line(s) 102,96,110,112
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: l1/b.java, line(s) 120
中危 域配置配置为信任系统证书。
Scope: i.snssdk.com is.snssdk.com pangolin.snssdk.com extlog.snssdk.com sf3-ttcdn-tos.pstatp.com bds.snssdk.com dig.bdurl.net
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (com.wtkj.app.clicker.service.ClickerService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.anythink.china.common.NotificationBroadcaseReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$RequestInstallPermissionActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.activity.BaseExcessActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.activity.SeedingLoadingActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (com.aczk.acsqzc.receiver.MyDeviceAdminReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.aczk.acsqzc.view.one.ExcessOneActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.two.ExcessTwoActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.three.ExcessThreeActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.four.ExcessFourActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.five.ExcessFiveActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.six.ExcessSixActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.seven.ExcessSevenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.eight.ExcessEightActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.nine.ExcessNineActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.ten.ExcesstenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.eleven.ExcesselevenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.twelve.ExcesstwelveActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.thirteen.ExcessthirteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.fourteen.ExcessFourteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.fiveteen.ExcessFiveteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.sixteen.ExcesssixteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.seventeen.ExcesssseventeenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.eightteen.ExcesseightteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.aczk.acsqzc.view.nineteen.ExcessnineteenActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/kwai/sodler/lib/c.java, line(s) 189
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/kwai/filedownloader/a/d.java, line(s) 5,6,7,155 com/kwai/filedownloader/a/e.java, line(s) 4,5,14 d1/a.java, line(s) 4,5,20
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/aczk/acsqzc/service/RunnableC0380b.java, line(s) 5 com/aczk/acsqzc/util/S.java, line(s) 13 d3/a.java, line(s) 12 d3/d.java, line(s) 5 e2/a.java, line(s) 3 e2/b.java, line(s) 4 f2/a.java, line(s) 4 h1/b.java, line(s) 4 y0/f.java, line(s) 15
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/aczk/acsqzc/dsbridge/DWebView.java, line(s) 629,623
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: t/q.java, line(s) 86
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/aczk/acsqzc/util/S.java, line(s) 62 com/aczk/acsqzc/util/na.java, line(s) 26,101 com/kwai/filedownloader/e/f.java, line(s) 243 com/kwai/sodler/lib/d/b.java, line(s) 21 d2/a.java, line(s) 184
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: g3/a.java, line(s) 79
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/aczk/acsqzc/util/F.java, line(s) 47,54 com/aczk/acsqzc/util/ea.java, line(s) 203,208 com/aczk/acsqzc/util/ha.java, line(s) 174
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "APP_KEY" : "Sh_adc09120ac61b464ba6c01885b0c6d2d" "dyStrategy.privateAddress" : "privateAddress" "anythink_myoffer_feedback_violation_of_laws" : "Illegal" fa3451ccdb42c4383ce5dcd9ad74d919 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 7d2c806c40c981eb815b8c9bd5d61879 5fb3284b43e9f56479ca2c3f
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/c.java, line(s) 98,196,237 a/k.java, line(s) 136,154 a0/c.java, line(s) 69,68,85,86 a0/h.java, line(s) 22,27,23,30 a0/i.java, line(s) 181,209,248,252,287,293,329,366,180,208,246,251,256,269,273,279,292,327,336,345,356,364 a0/k.java, line(s) 115,425,659,114,372,424,447,454,482,506,610,631,644,658,681,688,403,483,531 a0/l.java, line(s) 33,44,39,50 a0/p.java, line(s) 41,42 a0/s.java, line(s) 78,87,101,79,88,102,103,104,108 a0/v.java, line(s) 111,110 com/aczk/acsqzc/dsbridge/DWebView.java, line(s) 413 com/aczk/acsqzc/service/P.java, line(s) 381 com/aczk/acsqzc/util/C0418y.java, line(s) 345,350 com/aczk/acsqzc/util/D.java, line(s) 25 com/aczk/acsqzc/util/O.java, line(s) 32,38,44 com/aczk/acsqzc/util/P.java, line(s) 24,28,31 com/aczk/acsqzc/util/Q.java, line(s) 139 com/aczk/acsqzc/util/ea.java, line(s) 99,103,113,140,152,156,163,190,200,217 com/aczk/acsqzc/util/ga.java, line(s) 13,20,34,41 com/aczk/acsqzc/util/ha.java, line(s) 178,184 com/aczk/acsqzc/util/na.java, line(s) 111 com/anythink/banner/api/ATBannerView.java, line(s) 570,582,587,725 com/anythink/interstitial/a/a.java, line(s) 72,227,251 com/anythink/interstitial/a/b.java, line(s) 120,133,137,141 com/anythink/interstitial/api/ATInterstitial.java, line(s) 195,206,223 com/kwai/sodler/lib/a.java, line(s) 7,11,15,19 com/kwai/sodler/lib/e.java, line(s) 56,62 com/kwai/sodler/lib/kwai/b/a.java, line(s) 157 com/kwai/sodler/lib/kwai/kwai/b.java, line(s) 24,37 com/wtkj/app/clicker/activity/WebActivity.java, line(s) 143,147,170 com/wtkj/app/clicker/service/ClickerService.java, line(s) 160 e0/a.java, line(s) 71,163,172,179,72,166,175,182 e0/c.java, line(s) 18,19 e0/h.java, line(s) 47,48 g0/e.java, line(s) 39,36,67,88,68,89 g0/j.java, line(s) 65,66 g0/k.java, line(s) 183,184,195 i3/a.java, line(s) 25 j0/g.java, line(s) 428,26,336,345 j3/a.java, line(s) 44,75 j3/b.java, line(s) 90,80,83 j3/c.java, line(s) 26 k0/g.java, line(s) 54,110,111,55 n/c.java, line(s) 238,251,256,259,268,280,223,237,244,250,255,258,267,274,245,224 n/h.java, line(s) 247,248 n/i.java, line(s) 108,102 n1/d.java, line(s) 162 n1/e.java, line(s) 40 n1/f.java, line(s) 48,90 o/a.java, line(s) 264 o0/a.java, line(s) 41,44 p/d.java, line(s) 173,201,172,200 p/e.java, line(s) 119,149,163,118,148,162 p1/a.java, line(s) 49 p1/b.java, line(s) 25 r/b.java, line(s) 66,65 r/i.java, line(s) 102,145,99,144,148,154,161,158,164 r/k.java, line(s) 49,48 s/a.java, line(s) 109,162,108,161 t/a0.java, line(s) 50,51 t/j.java, line(s) 643,112,255,642,457 t/k.java, line(s) 146,147 t/m.java, line(s) 19,202 t/r.java, line(s) 145 u/h.java, line(s) 161,195,165,200 u/i.java, line(s) 57,69,178,227,56,68,101,104,111,173,190,197,214,226,229,102,112,154,195,215 v/d.java, line(s) 49,86,99,115,50,100,87,118 v/i.java, line(s) 99,79 w/a.java, line(s) 79,78 x/c.java, line(s) 17,16 x/d.java, line(s) 41,40 x/f.java, line(s) 99,98 x/t.java, line(s) 94,95 x/u.java, line(s) 40,39
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: o1/e.java, line(s) 5,36 q1/i.java, line(s) 4,25
信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/wtkj/app/clicker/MainApplication.java, line(s) 155,155
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdn-adn-https.rayjump.com) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mores.toponad.com) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '埃塞俄比亚', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.e.kuaishou.com) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (t.idazhe.net) 通信。
{'ip': '47.114.7.160', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.samsung.com) 通信。
{'ip': '117.91.193.4', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.gc.com.cn) 通信。
{'ip': '121.14.47.34', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.idazhe.net) 通信。
{'ip': '114.55.26.17', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toponad.com) 通信。
{'ip': '42.192.176.82', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aa.birdgesdk.com) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (a.idazhe.net) 通信。
{'ip': '218.244.145.176', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tongji.oozk.cn) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (report.idazhe.net) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (file.gc.com.cn) 通信。
{'ip': '120.27.234.218', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。
{'ip': '222.186.18.244', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pitk.birdgesdk.com) 通信。
{'ip': '58.222.37.231', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.wutongkj.cn) 通信。
{'ip': '58.222.37.231', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p1-lm.adkwai.com) 通信。
{'ip': '58.222.37.231', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}