安全分析报告:
安全分数
安全分数 48/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
2
中危
15
信息
1
安全
1
关注
6
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.github.tvbox.osc.ui.activity.DetailActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.github.tvbox.osc.receiver.SearchReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.github.tvbox.osc.receiver.DetailReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.github.tvbox.osc.receiver.CustomWebReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 IP地址泄露
IP地址泄露 Files: com/github/tvbox/osc/ui/activity/LivePlayActivity.java, line(s) 1097 com/github/tvbox/osc/ui/activity/PlayActivity.java, line(s) 758 fi/iki/elonen/NanoHTTPD.java, line(s) 964 jcifs/UniAddress.java, line(s) 272 jcifs/netbios/NameServiceClient.java, line(s) 76 jcifs/netbios/NbtAddress.java, line(s) 50,62 org/xwalk/core/XWalkAppVersion.java, line(s) 8
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: jcifs/smb/NtlmPasswordAuthentication.java, line(s) 214 jcifs/smb/SigningDigest.java, line(s) 19,136 jcifs/util/HMACT64.java, line(s) 28
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/github/catvod/crawler/JarLoader.java, line(s) 176 com/github/tvbox/osc/util/js/Global.java, line(s) 75
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jg/ids/i/i.java, line(s) 101
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/github/tvbox/osc/ui/tv/widget/AudioWaveView.java, line(s) 11 com/obsez/android/lib/filechooser/permissions/PermissionsUtil.java, line(s) 10 jcifs/smb/NtlmPasswordAuthentication.java, line(s) 9
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/alivc/conan/a.java, line(s) 23 com/obsez/android/lib/filechooser/internals/FileUtil.java, line(s) 137 org/xwalk/core/XWalkFileChooser.java, line(s) 49,54 org/xwalk/core/XWalkLibraryLoader.java, line(s) 232
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/github/tvbox/osc/ui/activity/PlayActivity.java, line(s) 1158,1190,1161,1193
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: fi/iki/elonen/NanoHTTPD.java, line(s) 341,677,693 org/xwalk/core/XWalkFileChooser.java, line(s) 59
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度统计的=> "BaiduMobAd_STAT_ID" : "533f30795f" 百度统计的=> "BaiduMobAd_CHANNEL" : "Official" "http_auth_password" : "Password" "http_auth_user_name" : "Username" 12345778-1234-abcd-ef00-0123456789ac edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 4fc742e0-4a10-11cf-8273-00aa004ae673 3E63BAAECDAA79BEAA91853490A69F08 4b324fc8-1670-01d3-1278-5a47bf6ee188 8a885d04-1ceb-11c9-9fe8-08002b104860 12345778-1234-abcd-ef00-0123456789ab 812d3710c749fe4fb0e209f273257690 d2470d2304493a5cf8987b181ba1e601 6fd3002c5ca9a1f55ed51e92233ed4626120c266efea9d9746058c995ece68c4
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cat/ereza/customactivityoncrash/provider/CaocInitProvider.java, line(s) 53,58,61,70,67 com/alivc/conan/crash/AlivcCrashReport.java, line(s) 166 com/cicada/player/utils/Logger.java, line(s) 119,127,123,115,125 com/github/catvod/crawler/JarLoader.java, line(s) 43 com/github/catvod/crawler/JsLoader.java, line(s) 39 com/github/catvod/crawler/SpiderDebug.java, line(s) 10,17,24 com/github/tvbox/osc/base/BaseActivity.java, line(s) 140 com/github/tvbox/osc/subtitle/widget/SimpleSubtitleView.java, line(s) 99,81 com/github/tvbox/osc/ui/activity/HomeActivity.java, line(s) 644 com/thegrizzlylabs/sardineandroid/Version.java, line(s) 24,25 com/thegrizzlylabs/sardineandroid/impl/BasicAuthenticator.java, line(s) 23,24 com/thegrizzlylabs/sardineandroid/impl/handler/ResourcesResponseHandler.java, line(s) 21 com/thoughtworks/xstream/core/JVM.java, line(s) 278 fi/iki/elonen/util/ServerRunner.java, line(s) 15,18,24 jcifs/smb/TestLocking.java, line(s) 17,93,42,53,63,65 jcifs/util/DES.java, line(s) 266,281 me/jessyan/autosize/AutoSize.java, line(s) 144 me/jessyan/autosize/AutoSizeConfig$1.java, line(s) 28 me/jessyan/autosize/AutoSizeConfig.java, line(s) 298,306,158 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 me/jessyan/autosize/utils/AutoSizeLog.java, line(s) 19,25,31 org/xwalk/core/XWalkActivityDelegate.java, line(s) 56,106,125,137,139 org/xwalk/core/XWalkCoreWrapper.java, line(s) 43,97,128,136,139,143,156,162,165,169,175,176,186,199,202,211,232,238,241,244,266,292,298,309,315,321,327,343,345,374,388,276,333,348 org/xwalk/core/XWalkDecompressor.java, line(s) 42,248,286,289,301,321,366,373,378,429,432,439,46,267,359,435,91 org/xwalk/core/XWalkEnvironment.java, line(s) 78,98,125,137,146,155,162 org/xwalk/core/XWalkFileChooser.java, line(s) 60,75,103,109,114,145,50,63 org/xwalk/core/XWalkInitializer.java, line(s) 78,87,90 org/xwalk/core/XWalkLibraryLoader.java, line(s) 48,59,95,102,112,200,209,216,225,256,293,300,311,333,244,321 org/xwalk/core/XWalkUpdater.java, line(s) 55,127,187,193,218,221,246,253,269,284,300,170,179,183,189 org/xwalk/core/extension/BindingObjectAutoJS.java, line(s) 86,10,61 org/xwalk/core/extension/BindingObjectStore.java, line(s) 52,130,133,64 org/xwalk/core/extension/EventTarget.java, line(s) 41,55,69,31,52,66 org/xwalk/core/extension/MessageHandler.java, line(s) 36,43,22,47 org/xwalk/core/extension/MessageInfo.java, line(s) 87,135,161,193,195,84 org/xwalk/core/extension/ReflectionHelper.java, line(s) 338,85,89,106,110,114,226,236,325 org/xwalk/core/extension/XWalkExternalExtension.java, line(s) 114 org/xwalk/core/extension/XWalkExternalExtensionManagerImpl.java, line(s) 95,247,265,166,74,159,169,172 xyz/doikki/videoplayer/render/PlayerViewRenderView.java, line(s) 75
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: fi/iki/elonen/NanoHTTPD.java, line(s) 1424,1422,1424,1709,1421,1421
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tv.aiseet.atianqi.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.pullword.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (setting.iqinu.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (help.aliyun.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '长沙', 'latitude': '28.200001', 'longitude': '112.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.59bang.com) 通信。
{'ip': '123.57.69.86', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (px.ucweb.com) 通信。
{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '张家口', 'latitude': '40.810024', 'longitude': '114.879349'}