页面标题
页面副标题
移动应用安全检测报告
WaveCash v1.0.1
45
安全评分
安全基线评分
45/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
5
高危
16
中危
4
信息
2
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
5
中危安全漏洞
16
安全提示信息
4
已通过安全项
2
重点安全关注
2
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/appsflyer/AppsFlyerLibCore.java, line(s) 1539 com/appsflyer/internal/referrer/GoogleReferrer.java, line(s) 18
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 48,8
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: org/xutils/BuildConfig.java, line(s) 3,5
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 73,78,5
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: org/xutils/x.java, line(s) 39,5,6
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Broadcast Receiver (com.wavecash.app.user.service.HammockReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.wavecash.app.user.service.ShoestringReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.phone.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 高优先级 Intent(1000) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: bmat/VU/JjD.java, line(s) 4 bmat/VU/cJv/JjD.java, line(s) 4 bmat/VU/hUOBCfdC.java, line(s) 4 cJv/VGAU/JjD/cJv/DSuDyFN3a/hUOBCfdC/UYYVYV4ix.java, line(s) 36 cJv/VGAU/JjD/cJv/vsG5Fq/yc/JjD.java, line(s) 3 cJv/VGAU/yc/VGAU/cJv.java, line(s) 24 cJv/cSckzDm/bUMufZS.java, line(s) 4 vsG5Fq/JjD/vsG5Fq/yc.java, line(s) 9
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: cJv/VGAU/JjD/cJv/DSuDyFN3a/hUOBCfdC/IkEjjYaj.java, line(s) 7,8,310 cJv/VGAU/JjD/cJv/DSuDyFN3a/hUOBCfdC/vsG5Fq.java, line(s) 5,6,164,314,483 cJv/VGAU/JjD/cJv/cJv/yaBjxttxV/yaBjxttxV/hUOBCfdC.java, line(s) 19,20,1195 cJv/VGAU/JjD/hUOBCfdC/QY/Np/ab44Cht/VU.java, line(s) 4,5,84 cJv/VGAU/JjD/hUOBCfdC/QY/Np/ab44Cht/yaBjxttxV.java, line(s) 5,6,65,140,489 org/xutils/db/DbManagerImpl.java, line(s) 5,6,253,262
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/appsflyer/AppsFlyerProperties.java, line(s) 14 com/appsflyer/CreateOneLinkHttpTask.java, line(s) 15,16 com/appsflyer/internal/Exlytics.java, line(s) 7 com/appsflyer/internal/attribution/RequestErrorMessage.java, line(s) 5
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cJv/VGAU/yc/O64u6b5/yaBjxttxV.java, line(s) 126 cJv/VGAU/yc/yaBjxttxV/CWki7hDTi/hUOBCfdC.java, line(s) 39 cJv/cJv/JjD/hUOBCfdC/Cb1IJu.java, line(s) 839 cJv/cSckzDm/UaVVakm/Bjk/hUOBCfdC.java, line(s) 17 cJv/cSckzDm/UaVVakm/uccIQ.java, line(s) 301 com/appsflyer/internal/ac.java, line(s) 29
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: cJv/VGAU/yc/yaBjxttxV/CWki7hDTi/yc.java, line(s) 47 cJv/cSckzDm/YWyUma/hUOBCfdC/JjD.java, line(s) 352 vsG5Fq/Vi74/yc.java, line(s) 98
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cJv/VGAU/JjD/cJv/DSuDyFN3a/hUOBCfdC/UYYVYV4ix.java, line(s) 67 cJv/cSckzDm/Vc/Vc/bmat.java, line(s) 87 cJv/cSckzDm/Vc/ZjrC7SiSc.java, line(s) 33 com/appsflyer/internal/ac.java, line(s) 44 com/just/agentweb/AgentWebUtils.java, line(s) 608 org/xutils/common/util/MD5.java, line(s) 17,57
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cJv/ab44Cht/JjD/cJv/dYia77y/DSuDyFN3a.java, line(s) 249 cJv/ab44Cht/JjD/cJv/uccIQ/O64u6b5.java, line(s) 58 cJv/cJv/JjD/hUOBCfdC/jctOvF.java, line(s) 156,161,156 cJv/cSckzDm/jthy74d/ab44Cht/JjD.java, line(s) 62 com/just/agentweb/AgentWebUtils.java, line(s) 303,360,396 com/wavecash/app/view/loan/SelfieActivity.java, line(s) 42 org/xutils/common/util/FileUtil.java, line(s) 75,94
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 40,23
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "acapp_facebook_client_token" : "54c9646f7604a9e350f1693aa4b5e5f2" "acapp_facebook_app_id" : "1424275111799395" "google_app_id" : "1:945114052722:android:60c4acfde93136a4bceaeb" "google_api_key" : "AIzaSyDzz7d15PmadhrGqL8Xl-tOjjhLkFKHkBc" "google_crash_reporting_api_key" : "AIzaSyDzz7d15PmadhrGqL8Xl-tOjjhLkFKHkBc" 00ab740d-edd8-40dd-aa41-f666587a77f5 c56fb7d591ba6704df047fd98f535372fea00211 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 9b8f518b086098de3d77736f9458a3d2f6f95a37 e3f9e1e0cf99d0e56a055ba65e241b3399f7cea524326b0cdd6ec1327ed0fdc1 cc2751449a350f668590264ed76692694a80308a ffe391e0ea186d0734ed601e4e70e3224b7309d48e2075bac46d8c667eae7212 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 df6b721c8b4d3b6eb44c861d4415007e5a35fc95
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cJv/VGAU/JjD/cJv/DSuDyFN3a/hUOBCfdC/aiajt.java, line(s) 152,212 cJv/VGAU/JjD/cJv/ab44Cht/hUOBCfdC/JjD.java, line(s) 64 cJv/VGAU/JjD/cJv/cJv/MQFSsI/JjD.java, line(s) 34 cJv/VGAU/JjD/cJv/cJv/ab44Cht.java, line(s) 141 cJv/VGAU/JjD/cJv/cJv/bmat/O64u6b5/VGAU.java, line(s) 701 cJv/VGAU/JjD/cJv/cJv/bmat/O64u6b5/ma1zuEL.java, line(s) 43,58 cJv/VGAU/JjD/cJv/cJv/yaBjxttxV/DSuDyFN3a.java, line(s) 24 cJv/VGAU/JjD/cJv/cJv/yaBjxttxV/hhjRVq.java, line(s) 29 cJv/VGAU/JjD/cJv/cJv/yaBjxttxV/yaBjxttxV/hUOBCfdC.java, line(s) 734 cJv/VGAU/JjD/cJv/vsG5Fq/DSuDyFN3a/cSckzDm.java, line(s) 21 cJv/VGAU/JjD/cJv/vsG5Fq/ab44Cht/mJt0AY.java, line(s) 21 cJv/VGAU/JjD/cJv/yc/Np.java, line(s) 24,49 cJv/VGAU/JjD/cJv/yc/VGAU.java, line(s) 39 cJv/VGAU/JjD/cJv/yc/bmat.java, line(s) 60 cJv/VGAU/JjD/cJv/yc/hUOBCfdC.java, line(s) 57,92,106 cJv/VGAU/JjD/cJv/yc/uccIQ.java, line(s) 49,77,93 cJv/VGAU/JjD/cJv/yc/vsG5Fq.java, line(s) 42,72,99,119,168,207,225 cJv/VGAU/yc/CWki7hDTi/Juiayc.java, line(s) 64,64,92 cJv/VGAU/yc/CWki7hDTi/Np.java, line(s) 69 cJv/VGAU/yc/CWki7hDTi/Tqa.java, line(s) 107,110 cJv/VGAU/yc/O64u6b5/Bjk.java, line(s) 58,73 cJv/VGAU/yc/O64u6b5/Cb1IJu.java, line(s) 76,103 cJv/VGAU/yc/O64u6b5/Tqa.java, line(s) 26 cJv/VGAU/yc/O64u6b5/VGAU.java, line(s) 40,48,124,153 cJv/VGAU/yc/O64u6b5/dYia77y.java, line(s) 93 cJv/VGAU/yc/O64u6b5/pjt47.java, line(s) 36,46 cJv/cJv/JjD/hUOBCfdC/Tqa.java, line(s) 148 cJv/cSckzDm/Vc/Vc/bmat.java, line(s) 122 org/xutils/common/util/LogUtil.java, line(s) 101,108,113 vsG5Fq/DSuDyFN3a/JjD/hUOBCfdC/CWki7hDTi.java, line(s) 321,540,642,654 vsG5Fq/DSuDyFN3a/hUOBCfdC/cJv.java, line(s) 385 vsG5Fq/cJv/hUOBCfdC/ja.java, line(s) 42 vsG5Fq/yaBjxttxV/JjD/JjD.java, line(s) 58
安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: cJv/cJv/JjD/hUOBCfdC/VGAU.java, line(s) 11,15,4
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: cJv/cJv/JjD/hUOBCfdC/VGAU.java, line(s) 4,8
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: cJv/cSckzDm/Cb1IJu.java, line(s) 11,11 cJv/cSckzDm/Vc/jCEYJ/O64u6b5.java, line(s) 137,137 cJv/cSckzDm/Vc/jthy74d/VGAU.java, line(s) 81,81 cJv/cSckzDm/ZjrC7SiSc.java, line(s) 17,17 cJv/cSckzDm/mpyD.java, line(s) 217,217 cJv/cSckzDm/ycExVGJ.java, line(s) 11,11
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: cJv/cJv/JjD/hUOBCfdC/ab44Cht.java, line(s) 85
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/945114052722/namespaces/firebase:fetch?key=AIzaSyDzz7d15PmadhrGqL8Xl-tOjjhLkFKHkBc ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。
{'ip': '180.163.150.161', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.150.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
综合安全基线评分总结
WaveCash v1.0.1
Android APK
45
综合安全评分
中风险