安全分析报告:
安全分数
安全分数 56/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
0
中危
10
信息
2
安全
1
关注
5
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: f/h0/p/e.java, line(s) 24 f/h0/p/i.java, line(s) 8 f/z.java, line(s) 20
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b/h/a/v/u/b.java, line(s) 76
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: b/b/a/e/a.java, line(s) 156,143
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b/c/a/utils/PickPhotoUtils.java, line(s) 149 b/c/a/utils/f.java, line(s) 166,126,169 com/bocgins/wellness/activity/CameraActivity.java, line(s) 216
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: h/c/f/j.java, line(s) 17,73
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "STR_KEY" : "STR_FROM_RESOURCE_VALUE" 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b/b/a/e/b/b/b.java, line(s) 47,145,295,297,299,314,316,318,262 b/b/a/utils/b.java, line(s) 454 b/b/a/utils/c.java, line(s) 13,19,25,31,37,43,61,67,73,79 b/c/a/h/d/e/b/d.java, line(s) 152,155,169 b/c/a/h/d/f/a.java, line(s) 56,57,58,60,64,66,68,71,80,82,83,84,86,89,92,95,97 b/c/a/h/d/h/c.java, line(s) 11 b/d/a/l.java, line(s) 187,262,184,261 b/d/a/p/a.java, line(s) 319 b/d/a/q/a.java, line(s) 456,487,500,455,486,499,273,528,537 b/d/a/q/d.java, line(s) 84,112,83,111 b/d/a/r/a.java, line(s) 156,155 b/d/a/s/g/a.java, line(s) 32,33 b/d/a/s/g/g.java, line(s) 56,53 b/d/a/s/g/h.java, line(s) 33,34 b/d/a/s/g/i.java, line(s) 120,205,119,204 b/d/a/s/h/a.java, line(s) 27,32,26,31 b/d/a/s/h/b.java, line(s) 80,79,109,114,126,137,193,199,211,231,236,248,169 b/d/a/s/h/c.java, line(s) 240,248,256,266,189 b/d/a/s/h/l/f.java, line(s) 145,200,212,224,91,133,144,181,188,199,211,223,233,111,182,189,234,134 b/d/a/s/h/m/e.java, line(s) 61,86,104,118,62,87,107,119 b/d/a/s/h/m/k.java, line(s) 109,96 b/d/a/s/h/o/a.java, line(s) 85,76 b/d/a/s/i/f.java, line(s) 50,62,51,63 b/d/a/s/i/n.java, line(s) 26,27 b/d/a/s/i/o.java, line(s) 25,24 b/d/a/s/j/f/c.java, line(s) 38,41 b/d/a/s/j/f/g.java, line(s) 102,97,132,146,238,246,252,133,147,239,247,253 b/d/a/s/j/f/m.java, line(s) 31,32 b/d/a/s/j/f/q.java, line(s) 111,169,52,61,72,110,166,53,62,73,74,75,79 b/d/a/s/j/j/i.java, line(s) 101 b/d/a/s/j/j/j.java, line(s) 68,67,101,109 b/d/a/t/k.java, line(s) 147,148,156 b/d/a/w/i/n.java, line(s) 51,52 b/d/a/y/a.java, line(s) 41,40 b/d/a/y/b.java, line(s) 51,50 b/g/a/a/b.java, line(s) 40,80 b/g/a/a/c.java, line(s) 50,58,102,110,151,159,200,208,265,317 b/g/a/a/d.java, line(s) 45 b/g/a/a/f/c.java, line(s) 75,80,193,198,247,317,320,443,446,565,608,644,690,695,702,717,727,741,780,841,871,590,666,802 b/g/a/a/f/d.java, line(s) 1416 b/g/a/a/f/e.java, line(s) 88 b/g/a/c/b.java, line(s) 13,21,35,43,51 b/h/a/h.java, line(s) 191,277,283,295 b/h/a/o/s.java, line(s) 39,44,49,58,99,123 b/h/a/o/v.java, line(s) 100 b/h/a/v/i.java, line(s) 36,52,60,83 b/h/a/v/u/b.java, line(s) 80,98 b/h/a/v/v/c.java, line(s) 132,139,161,169,170 com/forms/okhttplibrary/util/LogUtil.java, line(s) 17,27,43,57,67 com/shockwave/pdfium/PdfiumCore.java, line(s) 49,41,328,332,362,366 d/c/a.java, line(s) 270 d/c/c.java, line(s) 12 d/d/b.java, line(s) 31,132 f/h0/c.java, line(s) 716 f/h0/m/i/c.java, line(s) 60,63,80 h/d/a/e/b.java, line(s) 27,33,35,31 h/d/c/e/a.java, line(s) 20 h/d/c/k/a.java, line(s) 26,34 i/a/a/g/a.java, line(s) 38 i/a/a/g/c.java, line(s) 21 pub/devrel/easypermissions/AppSettingsDialog.java, line(s) 66 pub/devrel/easypermissions/EasyPermissions.java, line(s) 129,131
信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/boc/core/extension/ExtensionsKt.java, line(s) 41 dev/b3nedikt/restring/Restring.java, line(s) 84,84
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/forms/okhttplibrary/https/OkHttpsClient.java, line(s) 149,196,214,102,144,144,191,191,207,207 com/forms/okhttplibrary/https/TrustAllCAManager.java, line(s) 18,17,16,16 com/forms/okhttplibrary/https/TrustCAAndSelfSignedManager.java, line(s) 19,18,17,17 com/forms/okhttplibrary/https/TrustOnlyCAManager.java, line(s) 21,20,19,19 f/h0/m/c.java, line(s) 120,118,117 f/h0/m/d.java, line(s) 156,143,164,153,153,155 f/h0/m/g.java, line(s) 121,119,118,118 f/h0/m/h.java, line(s) 285,271,282,282
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.bocgins.com) 通信。
{'ip': '47.75.234.230', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.150.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。
{'ip': '180.163.150.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.paypal.com) 通信。
{'ip': '192.229.232.89', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (google.com) 通信。
{'ip': '13.107.42.14', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}