安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
6
中危
21
信息
1
安全
2
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (bmndumqhxqx.zbxaoifapda.uwesugasvu.rvxpvffphxep) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (bmndumqhxqx.zbxaoifapda.uwesugasvu.fdhflkyb.ryebihsj) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (bmndumqhxqx.zbxaoifapda.uwesugasvu.lanckeigo) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (gkpgkbzf.jgyxhd.yoydhy.gohnfpnl.mkxczrof) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: bmndumqhxqx/zbxaoifapda/uwesugasvu/hkfwlobp.java, line(s) 67,57
中危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 4.4-4.4.4, [minSdk=19] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (bmndumqhxqx.zbxaoifapda.uwesugasvu.bderlgdipfpyav$MyReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (bmndumqhxqx.zbxaoifapda.uwesugasvu.bmjcwkerlvucckh) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (bmndumqhxqx.zbxaoifapda.uwesugasvu.pcwgullasnvittk) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (bmndumqhxqx.zbxaoifapda.uwesugasvu.ytvpkiyyr) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity设置了TaskAffinity属性
(bmndumqhxqx.zbxaoifapda.uwesugasvu.rvxpvffphxep) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (bmndumqhxqx.zbxaoifapda.uwesugasvu.bgnncqjjo) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (bmndumqhxqx.zbxaoifapda.uwesugasvu.xiscvzkbi) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity设置了TaskAffinity属性
(bmndumqhxqx.zbxaoifapda.uwesugasvu.fdhflkyb.zmcooxhtfncp) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(bmndumqhxqx.zbxaoifapda.uwesugasvu.hkfwlobp) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (gkpgkbzf.jgyxhd.yoydhy.kgtgpw.lkzovqf) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (gkpgkbzf.jgyxhd.yoydhy.uaorgu.ufbvpi) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (gkpgkbzf.jgyxhd.yoydhy.kgtgpw.sezbpdem) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Content Provider (gkpgkbzf.jgyxhd.yoydhy.oeyigs.iuokf) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 高优先级的Intent (999)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: djuhtntvet/beksdlvclks.java, line(s) 5 ifyiewkkb/ajtkupxfgj.java, line(s) 24 ifyiewkkb/vknldteagpn.java, line(s) 5 ubdbrdyly/beksdlvclks.java, line(s) 6 usrxhmlykrr/ppatffoplk.java, line(s) 14
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: iwqabokay/ajtkupxfgj.java, line(s) 5,6,138 qcbrinlo/zwtawwlw.java, line(s) 4,5,27
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: bmndumqhxqx/zbxaoifapda/uwesugasvu/hkfwlobp.java, line(s) 77,60
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "tray__authority" : "legacyTrayAuthority" 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bmbymdpvxw/xwcpbpgh.java, line(s) 25,34 bmbymdpvxw/zwtawwlw.java, line(s) 23,32 bmndumqhxqx/zbxaoifapda/uwesugasvu/bderlgdipfpyav.java, line(s) 449,462,578,119,167,171,242,246,268,282,286,295,303,307,324,331,349,375,412,419,550,733,760,763,768,777 bmndumqhxqx/zbxaoifapda/uwesugasvu/bmjcwkerlvucckh.java, line(s) 28,55,69 bmndumqhxqx/zbxaoifapda/uwesugasvu/fdhflkyb/ryebihsj.java, line(s) 195 bmndumqhxqx/zbxaoifapda/uwesugasvu/fdhflkyb/zmcooxhtfncp.java, line(s) 60,63,104,136 bmndumqhxqx/zbxaoifapda/uwesugasvu/rvxpvffphxep.java, line(s) 113 bmndumqhxqx/zbxaoifapda/uwesugasvu/xiscvzkbi.java, line(s) 14 dfzlyeehsz/dfzlyeehsz.java, line(s) 118,152,166,174,334 djuhtntvet/athnowtv.java, line(s) 11,23,27,35 djuhtntvet/beksdlvclks.java, line(s) 20,23,32 djuhtntvet/dfzlyeehsz.java, line(s) 27,30,79,95,103 djuhtntvet/fnlbbwitn.java, line(s) 13,18,49 djuhtntvet/jdtiivplm.java, line(s) 19,22,34 djuhtntvet/vknldteagpn.java, line(s) 10,24,27,48 djuhtntvet/xwcpbpgh.java, line(s) 10,22,25,46 djuhtntvet/zwtawwlw.java, line(s) 20 drbpwvtohsk/xwcpbpgh.java, line(s) 88 dtvaszzwooz/qxtejjrrmgc.java, line(s) 169 dupmbqmccwx/ajtkupxfgj.java, line(s) 20 fbwajdkiiep/qxtejjrrmgc.java, line(s) 28 fbwajdkiiep/rrrugcwm.java, line(s) 32 fbwajdkiiep/vknldteagpn.java, line(s) 61 fbwajdkiiep/xwcpbpgh.java, line(s) 30 fcqetupn/beksdlvclks.java, line(s) 33 fkliulcsle/ajtkupxfgj.java, line(s) 34 gkpgkbzf/jgyxhd/yoydhy/kgtgpw/lkzovqf.java, line(s) 52,111,124 gocmlbmus/ajtkupxfgj.java, line(s) 55 hirvdutf/beksdlvclks.java, line(s) 74 hkswkyzyqm/xwcpbpgh.java, line(s) 307,146,287 ifyiewkkb/ajtkupxfgj.java, line(s) 539,417 ifyiewkkb/qxtejjrrmgc.java, line(s) 91 jatpbkjkkcv/nhunpsrjg.java, line(s) 65,91 jhlfjqdyx/athnowtv.java, line(s) 45 lpstrdaecqe/beksdlvclks.java, line(s) 38 mmtlbwexlur/ajtkupxfgj.java, line(s) 50 mmtlbwexlur/xwcpbpgh.java, line(s) 5,12,20 nhunpsrjg/athnowtv.java, line(s) 22 nhunpsrjg/vknldteagpn.java, line(s) 77,95,103 niorzjdwus/zwtawwlw.java, line(s) 528 nqbvbaqbjbv/beksdlvclks.java, line(s) 292,303 nqbvbaqbjbv/dfzlyeehsz.java, line(s) 646 oopijchg/athnowtv.java, line(s) 518 ppatffoplk/ajtkupxfgj.java, line(s) 119,122,123,128,132,183,189 ppatffoplk/beksdlvclks.java, line(s) 211,95,184,259 ppatffoplk/xwcpbpgh.java, line(s) 80,159 pqpjqnoiojn/ajtkupxfgj.java, line(s) 67,201 pqvfhwbuasx/ajtkupxfgj.java, line(s) 21 qcbrinlo/beksdlvclks.java, line(s) 43 qxtejjrrmgc/ajtkupxfgj.java, line(s) 68 rxjtwjyb/athnowtv.java, line(s) 41 rxjtwjyb/dfzlyeehsz.java, line(s) 52,235 rxjtwjyb/ntjohmxv.java, line(s) 27,30 rxjtwjyb/qxtejjrrmgc.java, line(s) 220,225 rxjtwjyb/rrrugcwm.java, line(s) 80 rxjtwjyb/vknldteagpn.java, line(s) 34 rxjtwjyb/xwcpbpgh.java, line(s) 53 tgllonam/ajtkupxfgj.java, line(s) 229 tgllonam/athnowtv.java, line(s) 29,59,104,126,153,223,273 tgllonam/beksdlvclks.java, line(s) 40 tgllonam/dtvaszzwooz.java, line(s) 17,28 tgllonam/vknldteagpn.java, line(s) 21,30 tgllonam/xvynlnvzkhh.java, line(s) 359,371,378,387 tgllonam/zdnttasf.java, line(s) 343 vdmcyoeeiv/ajtkupxfgj.java, line(s) 481 vnxnujln/zwtawwlw.java, line(s) 130 vorzvaxsezp/ajtkupxfgj.java, line(s) 60,69,109,119 vorzvaxsezp/vknldteagpn.java, line(s) 42,101 zdnttasf/dfzlyeehsz.java, line(s) 55,57 zdnttasf/dtvaszzwooz.java, line(s) 333,1497,2589,2603,2618,2640,2654,2670 zdnttasf/fnlbbwitn.java, line(s) 28,59 zdnttasf/jdtiivplm.java, line(s) 116,121 zdnttasf/ppatffoplk.java, line(s) 46,48 zdnttasf/qxtejjrrmgc.java, line(s) 408,274 zdnttasf/rrrugcwm.java, line(s) 184 zdnttasf/tfqzewnhkih.java, line(s) 213,215,341 zdnttasf/vhzbotee.java, line(s) 133 zdnttasf/xwcpbpgh.java, line(s) 532,87,215,417 zdnttasf/zxphnslwjs.java, line(s) 165,170,178 zwtawwlw/lzsmyggymlh.java, line(s) 30 zwtawwlw/zdnttasf.java, line(s) 21,35,47
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: usrxhmlykrr/ppatffoplk.java, line(s) 190,189,188,188
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。