移动应用安全检测报告： 香港創輝 v1.3.3

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

(bin.mt.file.content.MTDataFilesWakeUpActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

Permission: android.permission.MANAGE_DOCUMENTS [android:exported=true]
发现一个 Content Provider被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
bin/mt/file/content/MTDataFilesProvider.java, line(s) 55
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 27,28,30,62,122
com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 38

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14

从应用程序中识别出以下机密确保这些不是机密或私人信息
DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "uni.UNI0100F35|__UNI__0100F35|124394050508|common"
DCLOUD的 "CHANNEL" : "common"
DCLOUD的 "ApplicationId" : "uni.UNI0100F35"
DCLOUD的 "APPID" : "__UNI__0100F35"
DCLOUD的 "AD_ID" : "124394050508"
"dcloud_permissions_reauthorization" : "reauthorize"
0da35149cecede84a20488c7002dfc7ba