安全分析报告: YourPorn v1.2.4

安全分数


安全分数 48/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 5
中危 26
信息 1
安全 3
关注 1

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
d/Cdo.java, line(s) 104

高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
t0/Cif.java, line(s) 17
u0/Cdo.java, line(s) 15

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
a3/Celse.java, line(s) 141,22,23,24
f0/Cclass.java, line(s) 68,103,13,14,15,16,17,18

高危 WebView域控制不严格漏洞 

WebView域控制不严格漏洞


Files:
es/dmoral/markdownview/MarkdownView.java, line(s) 201,200,201,202
q4/Cfor.java, line(s) 131,109

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity-Alias (com.aadagj.fs342.NewActivityDzdp) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityDy) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityIns) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityQq) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityFacebook) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityZh) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityQqmail) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityXhs) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityWx) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityWb) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityTuite) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityTt) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityMm) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityKs) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.NewActivityJsq) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.aadagj.fs342.DefaultAlias) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Service (com.blankj.utilcode.util.MessengerUtils$ServerService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 IP地址泄露 

IP地址泄露


Files:
a6/Cif.java, line(s) 166
w2/Ccase.java, line(s) 130,135,141,212

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/lxj/xpopup/util/Cclass.java, line(s) 42,65
f0/Cthis.java, line(s) 123
u2/Cnew.java, line(s) 18
v0/Cnew.java, line(s) 130,121,194
w2/Cthrow.java, line(s) 14,20

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/caoliu/lib_utils/event/BaoScrollEvent.java, line(s) 49
j/Cthrow.java, line(s) 99

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 26
d8/Cdo.java, line(s) 3
d8/Cif.java, line(s) 3
d9/Cgoto.java, line(s) 6
d9/Cnew.java, line(s) 14
e8/Cdo.java, line(s) 3
i0/Cfor.java, line(s) 17
p015import/Cfinally.java, line(s) 10
r8/Cdefault.java, line(s) 15

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
i/Cdo.java, line(s) 533
k8/Cpackage.java, line(s) 1060,1804

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
z2/Cdo.java, line(s) 6,7,73

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
q4/Cfor.java, line(s) 171,111

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1"
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
GcgzsKdDZTumABNz7uujrCfPIk9TQ355

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/Cgoto.java, line(s) 58,110,111,59
a3/Celse.java, line(s) 150
a3/Cfinally.java, line(s) 1353
a9/Cnew.java, line(s) 43
b/Cdo.java, line(s) 133,155,160,165,178,200,88
com/caoliu/lib_common/adapter/CommentAdapter.java, line(s) 75
com/caoliu/lib_common/dialog/SeekVerifyDialog.java, line(s) 116,125
com/caoliu/lib_common/widget/SwipeCaptchaView.java, line(s) 126,150,151
com/cjt2325/cameralibrary/CaptureButton.java, line(s) 128,133
com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 644,212,216,392,396,464,796,805,834,839,1763,1974,2313
com/davemorrissey/labs/subscaleview/decoder/SkiaPooledImageRegionDecoder.java, line(s) 124
com/just/agentweb/AgentWebView.java, line(s) 40,128
com/lxj/xpopup/util/Ccase.java, line(s) 66
com/lxj/xpopup/util/KeyboardUtils.java, line(s) 55
com/lxj/xpopup/util/XPermission.java, line(s) 96
com/lxj/xpopup/widget/SmartDivider.java, line(s) 29
com/makeramen/roundedimageview/RoundedImageView.java, line(s) 313,383
com/yalantis/ucrop/UCropActivity.java, line(s) 434
com/yalantis/ucrop/view/TransformImageView.java, line(s) 141,180,227
d/Cdo.java, line(s) 125,152,166,185,60,102,143,157,176
e/Cdo.java, line(s) 323
e0/Cdo.java, line(s) 37,40
e9/Celse.java, line(s) 10,15
es/dmoral/markdownview/MarkdownView.java, line(s) 78,87,98,113,124,144
f/Cnew.java, line(s) 195,225,192,224
f/Ctry.java, line(s) 615,635,652,614,634,651
f0/Cclass.java, line(s) 77,112
f0/Cthis.java, line(s) 125,134,50,60,186,128
f5/Cdo.java, line(s) 169
g/Cdo.java, line(s) 103,102
i/Cif.java, line(s) 106,140,180,105,139,179
j/Cbreak.java, line(s) 145,146
j/Cclass.java, line(s) 28,182
j/Cextends.java, line(s) 55,120,54,110,119,111
j/Cthis.java, line(s) 534,373,533,614,198
j/Cwhile.java, line(s) 157
k/Cgoto.java, line(s) 95,151,99,156
k/Cthis.java, line(s) 73,125,151,213,60,68,72,120,137,150,170,178,200,212,96,142,171,179,201
k8/Cpackage.java, line(s) 935,783,1152,371
k9/Cdo.java, line(s) 92,107,135,143,147
k9/Cgoto.java, line(s) 126,123
l/Cbreak.java, line(s) 95,80
l/Ctry.java, line(s) 38,69,102,121,131,70,122,39,103,134
m/Cdo.java, line(s) 108,107
m6/Cdo.java, line(s) 222,158,120,261
m6/Cif.java, line(s) 56,291,320,168,175,210,268,298,305,311,436
n/Ccase.java, line(s) 86,85
n/Cfor.java, line(s) 20,19
n/Cnative.java, line(s) 111,112
n/Cnew.java, line(s) 49,48
n/Cpublic.java, line(s) 43,42
n6/Cfor.java, line(s) 61,90,99,119,161,169,186,200,43,51,60,87,98,116,145,160,164,173,182,185,190,197
p/Cdo.java, line(s) 79,90
p006continue/Cif.java, line(s) 17
q/Cabstract.java, line(s) 133,132
q/Cbreak.java, line(s) 24,30,27,31
q/Cclass.java, line(s) 259,273,291,335,343,360,372,397,404,248,258,270,290,316,334,338,347,356,359,364,371,396,403
q/Cfinal.java, line(s) 152,481,649,151,435,480,506,547,648,668,685,461,519,570
q/Cfor.java, line(s) 76,75,92,93
q/Cnative.java, line(s) 88,94,100,106,112,119,125,144,153,89,95,101,107,113,120,126,154,145
q/Cnew.java, line(s) 23,33
q/Cpackage.java, line(s) 93,102,109,94,103,110,111,112,116
q/Csuper.java, line(s) 34,38,35,39
s0/Cdo.java, line(s) 18
u/Cdo.java, line(s) 78,143,150,157,86,146,153,160
u/Cfor.java, line(s) 26,27
u/Cgoto.java, line(s) 48,49
u2/Cdo.java, line(s) 44,48,59,63,95,120
u4/Cif.java, line(s) 53
w/Cconst.java, line(s) 74,75
w/Cfinal.java, line(s) 217,271,296,216,225,232,236,251,270,279,287,292,295,306,314,238,240,280,293,315
w/Cwhile.java, line(s) 150,112,147,171,185,113,174,186
w2/Ccase.java, line(s) 275
w2/Cclass.java, line(s) 125
w2/Cgoto.java, line(s) 129
x2/Ctry.java, line(s) 82
z/Cbreak.java, line(s) 585,30,208,277
z8/Cgoto.java, line(s) 94,97

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
n0/Cthis.java, line(s) 14,13,12,12
w2/Cgoto.java, line(s) 114,111,116
z8/Celse.java, line(s) 69,68,67,67
z8/Cfor.java, line(s) 70,69,68
z8/Cgoto.java, line(s) 200,188,198,198
z8/Cnew.java, line(s) 99,89,105,97,97

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
n0/Cif.java, line(s) 74

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s3.ap-east-1.amazonaws.com) 通信。 

{'ip': '52.95.161.38', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

安全评分: ( YourPorn 1.2.4)