页面标题
页面副标题
移动应用安全检测报告
Motion Sense-Spotify v1.01.2
51
安全评分
安全基线评分
51/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
17
中危
3
信息
2
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
17
安全提示信息
3
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: net/dinglisch/android/taskerm/bc.java, line(s) 1109,15
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: net/dinglisch/android/taskerm/TaskerAppWidgetConfigure.java, line(s) 229
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Service (net.dinglisch.android.taskerm.MyAccessibilityService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (net.dinglisch.android.taskerm.ReceiverStaticAlwaysOn) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (net.dinglisch.android.taskerm.ReceiverStaticInternal) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Service (com.joaomgcd.taskerm.plugin.ServiceRequestQuery) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.joaomgcd.taskerm.plugin.ServicePluginFinished) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: net/dinglisch/android/taskerm/ExecuteService.java, line(s) 89 net/dinglisch/android/taskerm/HasArgsEdit.java, line(s) 47 net/dinglisch/android/taskerm/ProxyTransparent.java, line(s) 17 net/dinglisch/android/taskerm/TaskerIntent.java, line(s) 7 net/dinglisch/android/taskerm/bc.java, line(s) 27 net/dinglisch/android/taskerm/bf.java, line(s) 8 net/dinglisch/android/taskerm/cg.java, line(s) 20 net/dinglisch/android/taskerm/dv.java, line(s) 9 net/dinglisch/android/taskerm/gm.java, line(s) 95 org/mockito/internal/creation/bytebuddy/ModuleHandler.java, line(s) 4 org/mockito/internal/creation/bytebuddy/SubclassBytecodeGenerator.java, line(s) 12
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a/a/a/a/d.java, line(s) 50 com/joaomgcd/taskerm/genericaction/GenericActionActivitySelectFile.java, line(s) 76 com/joaomgcd/taskerm/util/co.java, line(s) 436 net/dinglisch/android/taskerm/ActionEdit.java, line(s) 530 net/dinglisch/android/taskerm/CameraProxy.java, line(s) 402,403 net/dinglisch/android/taskerm/ExecuteService.java, line(s) 2650 net/dinglisch/android/taskerm/FileSelect.java, line(s) 145 net/dinglisch/android/taskerm/HasArgsEdit.java, line(s) 406 net/dinglisch/android/taskerm/gm.java, line(s) 696,705,944,1287,1576,2141
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/joaomgcd/taskerm/util/ay.java, line(s) 38
中危安全漏洞 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: net/dinglisch/android/taskerm/ax.java, line(s) 200,200,200 net/dinglisch/android/taskerm/be.java, line(s) 130
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/a/a/a/a/e/h.java, line(s) 55 net/dinglisch/android/taskerm/cg.java, line(s) 40 net/dinglisch/android/taskerm/db.java, line(s) 63,67
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/joaomgcd/taskerm/util/an.java, line(s) 26
中危安全漏洞 IP地址泄露
IP地址泄露 Files: a/a/a/a/c.java, line(s) 45 a/a/a/a/m.java, line(s) 34 net/dinglisch/android/taskerm/MyVpnService.java, line(s) 276,276,276
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: net/dinglisch/android/taskerm/bc.java, line(s) 530,1119
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: org/mockito/internal/creation/bytebuddy/InlineByteBuddyMockMaker.java, line(s) 49
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "an_keyboard" : "Keyboard" "an_keyguard_enabled" : "Keyguard" "pl_key" : "Key" "scene_event_type_key" : "Key" "word_keys" : "Keys" "http_auth_response_headers" : "Headers" "pl_password" : "Password" "pl_user_name" : "Username" "an_keyguard_enabled" : "Tastensperre" "an_keyguard_pattern" : "Tastensperre-Muster" "an_show_soft_keyboard" : "Bildschirmtastatur" "pl_cert_password" : "Zertifikatspasswort" "scene_event_type_key" : "Taste" "word_keys" : "Tasten" "an_keyboard" : "Clavier" "an_keyguard_enabled" : "Verrouillage" "scene_event_type_key" : "Touche" "word_keys" : "Touches" "an_keyboard" : "Klavye" "pl_key" : "anahtar" "scene_event_type_key" : "Anahtar" "usb_class_hid_keyboard" : "HID/klavye" "word_keys" : "Anahtarlar" "an_keyguard_enabled" : "Bloqueo" "pl_key" : "Clave" "scene_event_type_key" : "Tecla" "word_keys" : "Teclas" "an_show_soft_keyboard" : "Tastiera" "pl_key" : "Tasto" "scene_event_type_key" : "Tasto" "word_keys" : "Tasti" "pl_key" : "Chave" "scene_event_type_key" : "Tecla" "word_keys" : "Teclas" "word_keys" : "Key" F46B117B-CBC7-4ac2-8F3C-43C1649DC760 470fa2b4ae81cd56ecbcda9735803434cec591fa Y29tLmFuZHJvaWQudmVuZGluZy5saWNlbnNpbmcuSUxpY2Vuc2luZ1NlcnZpY2U=
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/a/a/a/a/b/x.java, line(s) 21,44 a/a/a/a/a/c/a.java, line(s) 62 a/a/a/a/b.java, line(s) 25,51,19,37,31,44 com/joaomgcd/taskerm/google/drive/i.java, line(s) 248 com/joaomgcd/taskerm/n/c.java, line(s) 211 com/joaomgcd/taskerm/net/v.java, line(s) 164,174,191 com/joaomgcd/taskerm/s/b.java, line(s) 96,105,99 com/joaomgcd/taskerm/util/TaskerApp.java, line(s) 286 com/joaomgcd/taskerm/util/ae.java, line(s) 401 com/joaomgcd/taskerm/util/an.java, line(s) 19,43,49 com/joaomgcd/taskerm/util/co.java, line(s) 526 cyanogenmod/app/CMStatusBarManager.java, line(s) 51,71,94,110,45,56,65,76,89,105 cyanogenmod/app/CMTelephonyManager.java, line(s) 16,60,87,93,111,127,133,152,158,176,191,206,221,56,66,68,83,107,123,148,172,187,202,217 cyanogenmod/app/CustomTile.java, line(s) 267 cyanogenmod/app/CustomTileListenerService.java, line(s) 122,79,92,96,108,112,131 cyanogenmod/app/Profile.java, line(s) 335,726,728 cyanogenmod/app/ProfileManager.java, line(s) 72,82,92,103,111,119,128,137,151,160,169,178,187,196,205,213,221,229,238,255,257 cyanogenmod/app/SettingsManager.java, line(s) 59,70,81,93,104 net/dinglisch/android/taskerm/FileView.java, line(s) 191 net/dinglisch/android/taskerm/IpackIconSelect.java, line(s) 96,145,157,123 net/dinglisch/android/taskerm/IpackReceiver.java, line(s) 21,26,36,40,44,47,57,75,82,89,100,117,155,132,145 net/dinglisch/android/taskerm/MonitorService.java, line(s) 657 net/dinglisch/android/taskerm/RunLog.java, line(s) 318 net/dinglisch/android/taskerm/ae.java, line(s) 49,73,107,141 net/dinglisch/android/taskerm/af.java, line(s) 21,48 net/dinglisch/android/taskerm/bl.java, line(s) 91,153,109,172,436,440 net/dinglisch/android/taskerm/cv.java, line(s) 33 net/dinglisch/android/taskerm/db.java, line(s) 151 net/dinglisch/android/taskerm/fv.java, line(s) 30,40,43,127,148,153 net/dinglisch/android/taskerm/gj.java, line(s) 270,322,276,290 net/dinglisch/android/taskerm/gm.java, line(s) 475,659,591 net/dinglisch/android/taskerm/hb.java, line(s) 117,271,31,38,47,96,99,102,135,183,229 org/mockito/internal/debugging/MockitoDebuggerImpl.java, line(s) 51 org/mockito/internal/util/ConsoleMockitoLogger.java, line(s) 8
安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: net/dinglisch/android/taskerm/MonitorService.java, line(s) 196,8309,16
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: net/dinglisch/android/taskerm/bz.java, line(s) 4,15,16,46
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: a/a/a/a/a/e/h.java, line(s) 45,44,43 c/w.java, line(s) 159,158,172,157,157
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: a/a/a/a/a/b/i.java, line(s) 306,306,307
综合安全基线评分总结
Motion Sense-Spotify v1.01.2
Android APK
51
综合安全评分
中风险