应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
CПUCkU CB0 25.04 v1.0
53
安全评分
安全基线评分
53/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
9
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
9
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 检测到调试证书签名
检测到应用使用调试证书签名。请勿在生产环境中使用调试证书。
高危安全漏洞 应用可被调试
[android:debuggable=true] 应用开启了可调试标志,攻击者可轻易附加调试器进行逆向分析,导出堆栈信息或访问调试相关类,极大提升被攻击风险。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.example.yandexdirect.core.alarm.AlarmReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.example.yandexdirect.core.telephony.sms.SmsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.example.yandexdirect.core.telephony.sms.DeliverySmsReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.example.yandexdirect.core.WapPushReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.example.yandexdirect.core.SmsActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.example.yandexdirect.core.SmsService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.example.yandexdirect.core.push.PushListenerService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.example.yandexdirect.ForegroundService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/example/yandexdirect/BootReceiver.java, line(s) 14 com/example/yandexdirect/ForegroundService.java, line(s) 64,89,94,158,446,491,560,570,77,108,143,166,448,453,457,477,517,538 com/example/yandexdirect/MainActivity.java, line(s) 57,125,130,132,141,153,242,263,279,286,310,493,496,502,509,514,522,528,193,203,217,222,231,238,265,271,305,312,317,481,504 com/example/yandexdirect/MyNotificationListenerService.java, line(s) 19 com/example/yandexdirect/ServiceRestarter.java, line(s) 13 com/example/yandexdirect/core/SmsActivity.java, line(s) 18 com/example/yandexdirect/core/SmsService.java, line(s) 28 com/example/yandexdirect/core/WapPushReceiver.java, line(s) 16,19 com/example/yandexdirect/core/alarm/AlarmReceiver.java, line(s) 16 com/example/yandexdirect/core/push/PushListenerService.java, line(s) 26,28 com/example/yandexdirect/core/push/Utils.java, line(s) 23 com/example/yandexdirect/core/telephony/sms/DeliverySmsReceiver.java, line(s) 18,28,21,31 com/example/yandexdirect/core/telephony/sms/SmsReceiver.java, line(s) 30 com/example/yandexdirect/core/telephony/sms/SmsSender.java, line(s) 38,59,89,33,43,47,52,65,69,73,84,91,97,101 com/example/yandexdirect/core/telephony/telephone/TelephoneInfo.java, line(s) 36,40,62,45 models/GeoUtils.java, line(s) 38 models/SmsExportUtils.java, line(s) 72,104
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: api/TelegramApiClient.java, line(s) 12,14,14
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
CПUCkU CB0 25.04 v1.0
Android APK
53
综合安全评分
中风险