安全分析报告:
安全分数
安全分数 41/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
8
中危
12
信息
1
安全
3
关注
1
高危 Activity (com.uzmap.pkg.LauncherUI) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.uzmap.pkg.EntranceActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.artifex.mupdf.MuPDFActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.artifex.mupdf.mini.DocumentActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/deepe/c/k/g.java, line(s) 39
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/uzmap/pkg/openapi/SuperWebview.java, line(s) 513,13 com/uzmap/pkg/uzcore/i/b/f.java, line(s) 143,14
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/uzmap/pkg/uzcore/i/d.java, line(s) 163,173,158
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/deepe/b/f/a.java, line(s) 227
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Service (com.zakww.loratm.util.SerialService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.artifex.mupdf.MuPDFActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.artifex.mupdf.mini.DocumentActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/apicloud/pdfReader/PdfReader.java, line(s) 639,664 com/deepe/c/g/f.java, line(s) 13 com/uzmap/pkg/uzmodules/fs/UzFsUtils.java, line(s) 1474 com/zakww/loratm/util/AppUtil.java, line(s) 40
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cn/bertsir/zbar/utils/GetPathFromUri.java, line(s) 20 com/apicloud/a/i/a/d/g.java, line(s) 27 com/apicloud/arcfacepublic/ArcFacePublicModule.java, line(s) 235,249,253 com/artifex/mupdf/ChoosePDFActivity.java, line(s) 27,28 com/deepe/b/f.java, line(s) 35 com/deepe/c/a/j.java, line(s) 20,36,52 com/uzmap/pkg/uzcore/g/c.java, line(s) 29 com/uzmap/pkg/uzcore/g/d.java, line(s) 229 com/uzmap/pkg/uzmodules/fs/UzFsUtils.java, line(s) 74,75,1044 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/Utils.java, line(s) 30 com/uzmap/pkg/uzmodules/uzFNScanner/utlis/ScanUtil.java, line(s) 77,238 com/uzmap/pkg/uzmodules/uzFNScanner/utlis/UriUtils.java, line(s) 23,25 com/uzmap/pkg/uzmodules/uzxml/UzXml.java, line(s) 204,208 com/zakww/loratm/util/LogUtil.java, line(s) 92,118
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/eclipsesource/v8/NodeJS.java, line(s) 75 com/uzmap/pkg/uzcore/i/b/h.java, line(s) 42
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/deepe/f/a/a.java, line(s) 4,5,14 com/ly/loratm/db/DbService.java, line(s) 5,85 com/ly/loratm/db/SQLiteHelper.java, line(s) 4,5,14 com/uzmap/pkg/uzmodules/uzdb/DBManager.java, line(s) 5,94 com/uzmap/pkg/uzmodules/uzdb/DBWrap.java, line(s) 4,46 com/uzmap/pkg/uzmodules/uzdb/UzDatebase.java, line(s) 4,278
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/deepe/c/i/d.java, line(s) 4 com/deepe/c/j/e/a/c.java, line(s) 10 com/uzmap/pkg/uzcore/UZCoreUtil.java, line(s) 22
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/uzmap/pkg/uzkit/fineHttp/RequestParam.java, line(s) 17 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/Intents.java, line(s) 45 compile/Properties.java, line(s) 9,25
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/deepe/c/g/f.java, line(s) 45 com/deepe/c/j/f.java, line(s) 160 com/deepe/c/l/b/b.java, line(s) 239
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 62587239-AD3C-8190-47B4-37DE080D7E9D ZGFsdmlrLnN5c3RlbS5aaXBQYXRoVmFsaWRhdG9y ZGlzdC9iYXNlL2FwaWJhc2UuanM= v2O0B0PheIHEWHe3kPOObZ8CfzWJGgf2JKzUS/1348L48KyH aHR0cHM6Ly93d3cuZ29vZ2xlLWFuYWx5dGljcy5jb20vY29sbGVjdA== YW5kcm9pZC50ZWxlcGhvbnkuU21zTWFuYWdlcg== aHR0cHM6Ly93d3cuZ29vZ2xlLWFuYWx5dGljcy5jb20vYmF0Y2g= A1933860496406478849 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: android_serialport_api/SerialPort.java, line(s) 56,29,40,23 cn/bertsir/zbar/CameraConfiguration.java, line(s) 94,102,129,137,142,54,78 cn/bertsir/zbar/utils/PermissionUtils.java, line(s) 258 com/apicloud/ACScanner/Utils/LogUtil.java, line(s) 28,36,20,24,40,47,32 com/apicloud/ACScanner/Utils/ViewUtil.java, line(s) 118 com/apicloud/a/d/g.java, line(s) 57,90 com/apicloud/a/i/a/ai/a/d.java, line(s) 415 com/apicloud/a/i/a/ai/a/j.java, line(s) 145,250,258 com/apicloud/a/i/a/d/a/c.java, line(s) 134,156,173,177,190,348,695,709 com/apicloud/a/i/a/r/s.java, line(s) 28,34,40,46,58 com/apicloud/a/i/a/v/g.java, line(s) 35,66 com/apicloud/a/i/a/y/a/a/f.java, line(s) 32 com/apicloud/arcfacepublic/GetAllFaceRunable.java, line(s) 22,24 com/apicloud/arcfacepublic/Utils/LogUtil.java, line(s) 28,36,20,24,40,47,32 com/apicloud/arcfacepublic/Utils/ViewUtil.java, line(s) 118 com/apicloud/arcfacepublic/camera/CameraHelper.java, line(s) 365,368,55 com/apicloud/arcfacepublic/camera/DualCameraHelper.java, line(s) 392,395,58 com/apicloud/arcfacepublic/faceserver/FaceServer.java, line(s) 68,355,441,447,448,449 com/apicloud/audiostreamer/MediaService.java, line(s) 265 com/apicloud/audiostreamer/UzAudioStreamer.java, line(s) 51,78,95,325,326,85,113,179 com/apicloud/barteksc/pdfviewer/PDFView.java, line(s) 288,526,763 com/apicloud/barteksc/pdfviewer/RenderingHandler.java, line(s) 74 com/apicloud/barteksc/pdfviewer/link/DefaultLinkHandler.java, line(s) 36 com/apicloud/c/a/a/g.java, line(s) 71 com/apicloud/c/a/a/j.java, line(s) 926,1007,2515,2542,3050,3821,4228,4551,4615,4929,5502,5724,5833,5893,4389,5914 com/apicloud/c/b/d.java, line(s) 24,44,30,36,33 com/apicloud/pdfReader/PdfReader.java, line(s) 151,91,92,141,642,667 com/artifex/mupdf/MuPDFActivity.java, line(s) 76,82 com/artifex/mupdf/mini/DocumentActivity.java, line(s) 122,672,761,327,384,463,503,535,542,577,611,643,645 com/artifex/mupdf/mini/Worker.java, line(s) 39,51 com/deepe/b/a/a.java, line(s) 38 com/deepe/b/e.java, line(s) 79 com/deepe/b/f.java, line(s) 45 com/deepe/c/b/c/e.java, line(s) 499,663,677,696 com/deepe/c/b/d/b.java, line(s) 1518,1310 com/deepe/c/b/k.java, line(s) 716 com/deepe/c/c/a/a/l.java, line(s) 26,11,21,7 com/deepe/c/j/e/b.java, line(s) 49,50 com/deepe/c/j/q.java, line(s) 51,73 com/deepe/d/a.java, line(s) 85,156,93,169,97,81,90,160,173 com/deepe/f/a/d.java, line(s) 76 com/deepe/f/a/e.java, line(s) 38 com/deepe/f/a/f.java, line(s) 44 com/eclipsesource/v8/debug/V8DebugServer.java, line(s) 306,248,350,397,411,432 com/file/zip/ZipFile.java, line(s) 190 com/fstec/android/FstecVendor.java, line(s) 76,78,83,96,104,126,133,140,171,175,188,225,234,241,114 com/shockwave/pdfium/PdfiumCore.java, line(s) 110,85,230,234,264,268 com/uzmap/pkg/uzcore/UZCoreUtil.java, line(s) 136 com/uzmap/pkg/uzcore/b/a.java, line(s) 173 com/uzmap/pkg/uzcore/i/b/a.java, line(s) 258 com/uzmap/pkg/uzkit/request/Request.java, line(s) 11,39 com/uzmap/pkg/uzmodules/fs/UzFsUtils.java, line(s) 68,86,112,292,394,397,569 com/uzmap/pkg/uzmodules/uzFNScanner/UzFNScanner.java, line(s) 537 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/CaptureActivity.java, line(s) 246,247 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/camera/AutoFocusCallback.java, line(s) 26 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/camera/CameraConfigurationManager.java, line(s) 37,39,57,62,109,129,146,196,207,40,64 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/camera/CameraManager.java, line(s) 184,200,136 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/camera/FlashlightManager.java, line(s) 18,20,52,63,72,75,78 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/camera/PreviewCallback.java, line(s) 36 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/CaptureActivityHandler.java, line(s) 64,69,88,92 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/CaptureActivityHandlerView.java, line(s) 63,68,78,80 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/DecodeHandler.java, line(s) 94 com/uzmap/pkg/uzmodules/uzFNScanner/Zxing/decoding/DecodeHandlerView.java, line(s) 80 com/uzmap/pkg/uzmodules/uzFNScanner/utlis/ScanUtil.java, line(s) 244 com/uzmap/pkg/uzmodules/uzdb/UzDatebase.java, line(s) 38,54,91,114,203,233 com/uzmap/pkg/uzmodules/uzdb/daoImpl/DBDaoImpl.java, line(s) 58 com/uzmap/pkg/uzmodules/uzxml/UzXml.java, line(s) 221 com/uzmap/pkg/uzmodules/uzzip/UzZip.java, line(s) 350 com/zakww/loratm/api/SerialPortModule.java, line(s) 320,370,580,607 com/zakww/loratm/util/LogUtil.java, line(s) 76,72,78,80,74 com/zakww/loratm/util/SeqUUIDUtil.java, line(s) 141 com/zakww/loratm/util/SerialHandle.java, line(s) 119,307,212 org/simple/eventbus/SubsciberMethodHunter.java, line(s) 56
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/deepe/c/j/c/d.java, line(s) 18,17,16
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: android_serialport_api/SerialPort.java, line(s) 26 com/deepe/c/a/c.java, line(s) 14,14,14,14,14,14
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (iuap-yonbuilder-mamservice.yyuap.com) 通信。
{'ip': '59.110.247.93', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}