移动应用安全检测报告: Next Toppers v21.6

安全基线评分


安全基线评分 46/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 4
中危安全漏洞 11
安全提示信息 2
已通过安全项 2
重点安全关注 0

高危安全漏洞 Activity (.MainActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 Activity (com.google.classes.DefaultProvider$MyActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
andhook/lib/BuildConfig.java, line(s) 3,8

高危安全漏洞 Firebase数据库未授权访问 

位于 https://next-topper-bec4b-default-rtdb.firebaseio.com/.json 的 Firebase 数据库在没有任何身份验证的情况下暴露在互联网上。响应内容如下所示:

{
    "test": {
        "-OJ-7HHsgqeUwxGiOC0W": {
            "email": "mr-k0anti@wearehackerone.com",
            "message": "this firebase has been found unprotected by mr-k0anti",
            "username": "mr-k0anti"
        }
    }
}

中危安全漏洞 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Content Provider (com.google.classes.DefaultProvider) 未被保护。 

[android:exported=true]
发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (com.google.service.RemoteService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.google.classes.DefaultProvider$DefaultReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (com.google.classes.DefaultProvider$MyActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.google.classes.FakeCamera$FakeCameraReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
qgrapx/C0032.java, line(s) 8
qgrapx/C0084.java, line(s) 8

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
andhook/lib/xposed/XposedHelpers.java, line(s) 607

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"firebase_database_url" : "https://next-topper-bec4b-default-rtdb.firebaseio.com"
"google_api_key" : "AIzaSyCk5TlIHg2tfxZ49NZpV2UN81XnZTEUK-c"
"google_app_id" : "1:908552751484:android:729d69900910af242a7cf9"
n4EPbNtXMNgNzgO0pJjfLc54Q9QnnUoOaUIYAPh3VtjxGkQhzM+wXdSDCxzgR/iipbLkIXQNuy2sY
NjsrA1QwNTBHXTs6aEALIGwiQk87OClMXDAm
n5cgy1k4ASf3A5cAFuJXKKaF9KpBPgDvM7KP4g1oIIGkCMADcBJwb2p8KOMvMPoUaCCBpALgfmBba
n+ZGkpzrId6ak3RlpLm1xz5kePn0QOrZ5A3H9GIMf80wHeZ+l7OZo6Qh7HwFWh45t3iCsKEiATkXo
ATwvXhgTMSdZTScxZkRLdTopWRgUOCpCTzAwaAMWdHVmFxE=
GzsyDW0lMCdZXTF0H0hMe3poAxl0dHwAEA==
Y29tLmFwcGxpc3RvLmFwcGNsb25lci5jbGFzc2VzLnNlY29uZGFyeQ==
PSAyXUtve2lMWj09IVhKIGVyHhYyPTJFTTd6L0IXFAdrYG0ZAA97fQcHAwBoAns=
PDArA1E7ICNfVjAgaElXIjoqQlkxeitMVjQzI18=
DDszDVA0IiNDHyF0FlhKNjwnXl0xdAdDQXUWJ1lbPXQfSEx7emcMGG98
PDArA1E7ICNfVjAgaElXIjoqQlkxeitMVjQzI18WJTgzXg==
njY7OJr0mLOpwiHpt4BgUi6Q3PCZi8h1SSjpR0vaM9LxEkHSMh69dMRHz7agGfUSIhqhzKG50dHiJ
nJBUhcameExFCkEhow4NEJCIST32oW4TEg3ogbg+NklAaSl1KFG2lNGlJimqU0/P3sGZ0nLNn9qx9
n+AxcP7sT90e4wsx2lRLoVkh6KOeOs1Z8IekeSce3yWOWpL9T0tglaWGb+w/x8OmdyoJXQPCPkDTc
nnEP6ewBXAAflTa7oYJUhwJEetmtGlXCvCL+m3LNYblk7NznmCXnpivcDfARoGWQz+wH3PlZaTRjs
n78C8qoIPewXwOcK9V1kHzIi2qlRGLEB3LDSVx3KgP3rEWSlxHzAZt8OgljPjEvkcWGJmr4dyoA/A
nYfAXeebVnyGCJC3JuHeGh1/vFx2nMjvh++m8iTvax9jMPgHOBv5OMXlE0tICyhR86SYXchted46h
NDoiX1c8MGhdXSc5L15LPDsoA2gaBxJydhoAD2txFhUSZHcbBw==
GztmZFYhMTRDXSF0BUJWOzElWVE6OmgDFg==
nbmhoaGhoaMig8M5S0hTgENxxYMk8kg9v+nAPg34ys79CB6GnkDt8Q5KGon97Er8nPxu1LWU8UsbB
BjsrSEw9PShKGAIxKFkYAiYpQ197emcMGG98
MzsoWUt6JilPVyE7GUBdMT0zQGc7IStPXScnaFlMMw==
MzsoWUt6JitIXDwhK0RMNDgvThYhICA=
Fjs2RF0xdBVYWzYxNV5eIDgqVBhvfQ==
PSAyXUtve2ldVDQtaEpXOjMqSBY2OysCSyE7NEgXNCQ2XhcxMTJMUTkneURcaD0iQBY8OjJISjsxMgNcOiMoQVc0MGhAWTs1IUhK
GztmQ10hIylfU3U3KUNWMDcyRFc7dCdbWTw4J09UMHpoAxl0
NjsrA0s+MTJOUCI1NEgWJzErQlx7FQV5cRoaGWN9AgsCaHoAExlhdxI=
nZWtL6D4gxleEjTgRsiZreZ8nNC9qRwx6BC0WIWuyNpCzY/YJalfUgLEw4LPgFs0T+snumNuJ4BOD
MzsoWUt6MylCXzkxJEJUMTsqSRYhICA=
PSAyXUtve2lZFjgxaWBZMQsebHo9PQ==
NDoiX1c8MGhdXSc5L15LPDsoA2oQFQJyfQ0AA392FBgZfmwaBgdqfQ==
NDoiX1c8MGhEViExKFkWNDcyRFc7ehBkfQI=
PSAyXUtve2lMWj09IVhKIGVyHhYyPTJFTTd6L0IXFAdrYG0ZAA97fQcHAwBoAnsoSEAhACldSDAmBExMNjwjXhc=
n2olwU2SXZdN1AtzmEfwtI+49oSQRspqj1yT9EUqAMoahx3rYvpW8MLONwFzglxT7WyQ97eOMmX0M
noCasBeYxdhEKpQwBfJ50pb7yY2abgNmki7C4F0QoQ4DC2slIhFm4VchWLJb0nGeaa3F9QicidEUf
FBEVAnsXF2l9cxYHc31ZMTAvQ18=
nd7qkHRn2vssMU5VdE3xYVka86jITBsDMNuBGM2mjDa9lhqhj7ifnqmsbvLfG5CH0PGDUkNXMvqV4
AQYHbnN1PShLV3U6KVkYNCInRFQ0NipI
MzsoWUt6NylYSjwxNHJWMCMZT1c5MGhZTDM=
nCXBIWXMAAC4jAAAuIwF4pT92AAAHk0lEQVR42u2dW6wdUxjHf98pirqURElc6tIihKZOL0rqLiEl
nJ2k5MBi65DXhQ6iwE5b0BHBP6FLXhB3AUWa2u5ImSNKdNMFPcp2Z7YYKaoCkmcDa0CWuCVuBu8zs
nzHYAd4WORoWsA241sxkhgw8jJi6SHgPuC+lQifwMvAu8ZGavhnYmptVM+CLc4RUzgEm42eiehP2E
nsw0NDQ0NDQ0FUesnYpIOBE4BTsKt2ewLTEyYDCfK0MfeUYzYO8ROjmQsca3o2lrYFJm2AXuAL81s
GTshSl0ndCdBSjA1IlQYJyEoQ1E7Mw==
aScrTFQ5amZtdTQwGXV5FzwvDUQpdGVjeRQZZnl3dQcTY3l1HAlqeWl7NUBZOTh4
NiYjTEwwGSNJUTQHKVhKNjFmeFYmITZdVycgI0kYIS02SAJ1
nEWYD347Bz/VmtmYM96cSWoCWRCLMJVsE38naNXQ+k30gdExyI+kVj3Z1fpu0Jssdnp1GWxEkHSTp
BTgjTEswdAxCUTt0CVhKdQAjQV0yJidAGBY8J0NWMDhmWVd1EyNZGBsxMQ1tJTAnWV17emcMGG99Zg==
dXlmT0F1FAtMXA0VJEVRGjIgRFs8NSoDSDEy
ATwvXhgTMSdZTScxZkRLdRopWRgUOCpCTzAwaAMWdHVmFxE=
NjsrA3YwLDJ5VyUkI19LexUERVE=
GTshSl0ndCFCTHU/L0FUMDBoDWowJzJMSiE9KEoW
ITkjXks0MyNeGDE9NV1UNC1mXlEvMWYQGA==
nlwr5ETjezBRsKULS6ZJWAU8xvoIPcBxwGQRaC5I0iNvycX7oSARkPgQQQNKjwHJgQugIBGYiVLwY
n6ILXhSq+P2Ae7qsIh4HV0REDDQ314F/QQmVQhaYmuwAAAABJRU5ErkJggg==
PDArA1E7ICNfVjAgaElXIjoqQlkxeitMVjQzI18WNDArA1Q8ICM=
ADoqQls+dDNDVDw5L1ldMXQqSFknOi9DX3R0DEJRO3QpWEp1EClaVjk7J0kYEiYpWEh1ICkNXTQnL0FBdTApWlY5OydJGCE8L14YOTElWU0nMWZMVjF0K0JKMHpoAxl0
nbz2PpFXK5obQPvYskh5WPqaG9rXnkDRR0q6cAjxZdP59oQNQA84ADshpO6vozBsB4DAP2/2KzrwR
HHMrDUs6JjRUGDM7NA1MPT01DU07MT5dXTYgI0kYNiYnXlB7dBZBXTQnIw1KMCQpX0x1PTINTDp0ek8GFRknSWcNFQRFUWl7JBMYOjpmeV05MSFfWTh4ZllQMHQiSE4wOCldXScnZkJedSAuREt1FTZdFnUNKVhKdTIjSFw3NSVGGCI9KkEYPTEqXRg8OTZfVyMxZllQMHQnXUh7
nxtAB6Dkkzc+55W9DaF97Fkkv5BBgPHxbUjgkvZgS+F2SbgztX10o9cGJpAXA1cB03BOr94DlZvZT
nAP7xsB0qOvNGAL+5kIrOvBGghKD60AgQmEYAONDD9oSiM98ndOlrwNdAPL4fjn7G/UKyedoX+C60

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
andhook/lib/AndHook.java, line(s) 65,77,100
andhook/lib/HookHelper.java, line(s) 49,54,82,103,124,145,161,257,268,282,288,247
andhook/lib/xposed/XposedBridge.java, line(s) 221,217
andhook/lib/xposed/XposedHelpers.java, line(s) 68,81,94,107,518,529,540,555,576,587,598,648,761,772,783,794,805,816,827,838,849,860,892,907,980,991,1002,1013,1024,1035,1046,1057,1068,1079,1090,1101,1112,1123,1134,1145,1156,1167
com/swift/sandhook/ClassNeverCall.java, line(s) 10
com/swift/sandhook/HookLog.java, line(s) 10,14,18,22,26,30
com/swift/sandhook/SandHook.java, line(s) 246
com/swift/sandhook/utils/FileUtils.java, line(s) 73,109
com/swift/sandhook/utils/ReflectionUtils.java, line(s) 21
com/swift/sandhook/utils/Unsafe.java, line(s) 86,32
com/swift/sandhook/wrapper/HookWrapper.java, line(s) 316,325
java/io/ByteArrayOutputStrean.java, line(s) 20,24,25,38,27

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
qgrapx/ViewOnClickListenerC0089.java, line(s) 4,25
qgrapx/ViewOnClickListenerC0092.java, line(s) 4,37
qgrapx/ViewOnClickListenerC0141.java, line(s) 4,43
qgrapx/ViewOnClickListenerC0144.java, line(s) 4,42
qgrapx/ViewOnLongClickListenerC0010.java, line(s) 4,20
qgrapx/ViewOnLongClickListenerC0062.java, line(s) 4,25

已通过安全项 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/908552751484/namespaces/firebase:fetch?key=AIzaSyCk5TlIHg2tfxZ49NZpV2UN81XnZTEUK-c ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分: ( Next Toppers 21.6)