安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
3
中危
23
信息
5
安全
1
关注
14
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/bookmarkearth/app/browser/BrowserWebViewClient.java, line(s) 350,335 com/bookmarkearth/app/browser/urlextraction/UrlExtractingWebViewClient.java, line(s) 141,126
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/bookmarkearth/app/browser/BrowserTabFragment.java, line(s) 2832,38,1068
中危 基本配置配置为信任系统证书。
Scope: *
中危 Activity (com.bookmarkearth.app.browser.BrowserActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bookmarkearth.app.SelectedTextSearchActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.langdashi.bookmarkearth.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.langdashi.bookmarkearth.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.langdashi.bookmarkearth.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bookmarkearth.common.ui.themepreview.ui.AppComponentsActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/bookmarkearth/app/bookmarks/ui/bookmarkfolders/DeleteBookmarkFolderConfirmationFragment.java, line(s) 19 com/bookmarkearth/app/browser/BrowserTabFragment.java, line(s) 204 com/bookmarkearth/app/browser/WebViewCallback.java, line(s) 14 com/bookmarkearth/app/browser/defaultbrowsing/DefaultBrowserSystemSettings.java, line(s) 14 com/bookmarkearth/app/browser/httpauth/WebViewHttpAuthCredentials.java, line(s) 51 com/bookmarkearth/app/browser/model/BasicAuthenticationCredentials.java, line(s) 51 com/bookmarkearth/app/global/install/AppInstallSharedPreferences.java, line(s) 21 com/bookmarkearth/app/notification/model/WebsiteNotificationSpecification.java, line(s) 16 com/bookmarkearth/app/pay/ui/PayConfirmationFragment.java, line(s) 36 com/bookmarkearth/app/usercenter/UserCenterConstant.java, line(s) 9 com/bookmarkearth/app/usercenter/model/QQBean.java, line(s) 89 com/bookmarkearth/app/usercenter/model/SimpleUserBean.java, line(s) 80 com/bookmarkearth/common/utils/global/Constant.java, line(s) 128,123,126,124,125,127 com/bookmarkearth/downloads/impl/ui/DownloadConfirmationFragment.java, line(s) 41 org/jsoup/helper/W3CDom.java, line(s) 178 org/jsoup/nodes/DocumentType.java, line(s) 12,13,15 rx/internal/schedulers/NewThreadWorker.java, line(s) 27,36
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/bookmarkearth/app/scanner/ui/MyCaptureActivity.java, line(s) 13 com/bookmarkearth/common/utils/utils/IDUtil.java, line(s) 6 org/jsoup/helper/DataUtil.java, line(s) 17 org/junit/runner/manipulation/Ordering.java, line(s) 7
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/CaptureManager.java, line(s) 262 org/junit/rules/TemporaryFolder.java, line(s) 79,164
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/bookmarkearth/app/fire/DatabaseCleanerHelper$executeCommand$2.java, line(s) 4,59 com/bookmarkearth/app/fire/SQLCookieRemover.java, line(s) 5,57
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/bookmarkearth/common/utils/utils/MD5Util.java, line(s) 27
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: org/repackage/a/a/a/a/c.java, line(s) 61
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/bookmarkearth/downloads/api/FileDownloader.java, line(s) 132
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: wendu/dsbridge/DWebView.java, line(s) 816,808
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" "library_zxingandroidembedded_author" : "JourneyApps" "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "authenticationDialogNegativeButton" : "Cancel" "authenticationDialogPositiveButton" : "Login" "authenticationDialogTitle" : "Login" "settingsHeadingUser" : "User" 25aab36d16bf328aec55aa9301fb1f11 5fc61eae4034454d32e7ba03 4c92c8a15cb9bd593091e3c35be3961b a1d25e30807b91988df9066a5c920df8 4acb6eff03dfd8fde34a25643df4aeb7
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/bookmarkearth/app/browser/BrowserActivity.java, line(s) 815 com/bookmarkearth/app/pay/ui/PayActivity.java, line(s) 122 com/bookmarkearth/app/usercenter/repository/UserCenterDataRepository.java, line(s) 139,156 com/bookmarkearth/common/utils/request/CustomGsonResponseBodyConverter.java, line(s) 38 com/bookmarkearth/common/utils/utils/SystemStringUtils.java, line(s) 198 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 652,679,148,249,350,772,511,752 com/journeyapps/barcodescanner/CaptureManager.java, line(s) 95,116,268 com/journeyapps/barcodescanner/DecoderThread.java, line(s) 118 com/journeyapps/barcodescanner/camera/AutoFocusManager.java, line(s) 70,94,111 com/journeyapps/barcodescanner/camera/CameraConfigurationUtils.java, line(s) 47,64,66,82,85,91,101,119,125,127,134,136,140,145,147,151,162,165,170,175,191,194,199,204,220,226,236,237,241,246,207 com/journeyapps/barcodescanner/camera/CameraInstance.java, line(s) 26,38,53,66,213,30,45,58,70 com/journeyapps/barcodescanner/camera/CameraManager.java, line(s) 53,70,344,355,178,208,247,174,180,261,269 com/journeyapps/barcodescanner/camera/CenterCropStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/FitCenterStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/LegacyPreviewScalingStrategy.java, line(s) 42,43,73 com/journeyapps/barcodescanner/camera/PreviewScalingStrategy.java, line(s) 22,23 com/makeramen/roundedimageview/RoundedDrawable.java, line(s) 117 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 268,308 junit/runner/BaseTestRunner.java, line(s) 151 junit/runner/Version.java, line(s) 12 junit/textui/TestRunner.java, line(s) 88,112,137 org/greenrobot/eventbus/Logger.java, line(s) 32,37 rx/internal/util/IndexedRingBuffer.java, line(s) 30 rx/internal/util/RxRingBuffer.java, line(s) 26 rx/plugins/RxJavaHooks.java, line(s) 207 timber/log/Timber.java, line(s) 397,416 wendu/dsbridge/DWebView.java, line(s) 76,1110
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/bookmarkearth/app/browser/BrowserTabFragment.java, line(s) 6,1644 com/bookmarkearth/common/ui/view/KeyboardAwareEditText.java, line(s) 5,133,144 com/bookmarkearth/common/utils/utils/ClipboardUtils.java, line(s) 4,9
信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/bookmarkearth/app/accessibility/data/AccessibilitySettingsSharedPreferences.java, line(s) 42,42 com/bookmarkearth/app/browser/db/BrowserSharedPreferences.java, line(s) 28,28 com/bookmarkearth/app/fire/UnsentForgetAllPixelStoreSharedPreferences.java, line(s) 54,54 com/bookmarkearth/app/global/install/AppInstallSharedPreferences.java, line(s) 85,85 com/bookmarkearth/app/global/migrations/MigrationSharedPreferences.java, line(s) 29,29 com/bookmarkearth/app/onboarding/store/OnboardingSharedPreferences.java, line(s) 76,76 com/bookmarkearth/app/settings/db/SettingsDeprecatedSharedPreferences.java, line(s) 30,30 com/bookmarkearth/app/settings/db/SettingsSharedPreferences.java, line(s) 434,434 com/bookmarkearth/common/ui/store/ThemingSharedPreferences.java, line(s) 52,52 com/bookmarkearth/common/ui/store/notifyme/NotifyMeSharedPreferences.java, line(s) 28,28 com/bookmarkearth/common/ui/themepreview/ui/AppComponentsSharedPreferences.java, line(s) 37,37
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/bookmarkearth/app/di/NetworkModule.java, line(s) 60,60,70
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.sogou.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.dl.alipaydev.com) 通信。
{'ip': '110.75.132.25', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (so.toutiao.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.douban.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.zhihu.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.bilibili.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '金华', 'latitude': '30.013470', 'longitude': '120.288658'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app1.whatbuytoday.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.so.com) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.bookmarkearth.cn) 通信。
{'ip': '180.163.251.63', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.similarearth.com) 通信。
{'ip': '119.29.3.35', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s.weibo.com) 通信。
{'ip': '106.63.15.9', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}