移动应用安全检测报告:
安全基线评分
安全基线评分 52/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
3
中危安全漏洞
15
安全提示信息
1
已通过安全项
3
重点安全关注
0
高危安全漏洞 Activity (com.yGUayDSo.yPefjiprSK.MainActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.yGUayDSo.yPefjiprSK.MainAliasActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: Ooyaite8ahdo/Nee2sho6eiqu.java, line(s) 20,33
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Activity-Alias (com.yGUayDSo.yPefjiprSK.MainAliasActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.yGUayDSo.yPefjiprSK.InstallReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.yGUayDSo.yPefjiprSK.LocalVPNService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.example.fcmexpr.keepalive.KeepAliveReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: Ooyaite8ahdo/Nee2sho6eiqu.java, line(s) 21,34 Rei2SeeNgung/No5wee9QuohL.java, line(s) 44 ub2EisahFohh/AhX1eebeyo2j.java, line(s) 52
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: hoo3deesu6Ai/iep8vie7AeS4.java, line(s) 28 ooG0zais1ahv/Aig5aefeeng5.java, line(s) 3 ooG0zais1ahv/No5wee9QuohL.java, line(s) 16 ooG0zais1ahv/aeh0thuThohs.java, line(s) 12 ooG0zais1ahv/cav3Fah3aiH8.java, line(s) 14 ooG0zais1ahv/wae7Baeva5he.java, line(s) 7 uxaigh1eiR6o/aiCie0aighia.java, line(s) 22 uxaigh1eiR6o/luZeeb9Leiv8.java, line(s) 10
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: ub2EisahFohh/ahpa7XaePhei.java, line(s) 41
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: waeToht2aquo/eg6tue6xaa4I.java, line(s) 4,5,123 waeToht2aquo/ood0Ab9chu1h.java, line(s) 6,7,72,129,198,317,553,565,695,736
中危安全漏洞 IP地址泄露
IP地址泄露 Files: DueLengie5ua/AhX1eebeyo2j.java, line(s) 21,19 com/yGUayDSo/yPefjiprSK/LocalVPNService.java, line(s) 79,79,79
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: ooG0zais1ahv/uxu3OTh9vohF.java, line(s) 40
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyBi7EVzF-1BG3A_JkmtjZPJkPhsYu7ncAM" "google_app_id" : "1:652224930385:android:9286603461f0704e494e70" "google_crash_reporting_api_key" : "AIzaSyBi7EVzF-1BG3A_JkmtjZPJkPhsYu7ncAM" 44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: Bah7uaphei7I/luZeeb9Leiv8.java, line(s) 37,44,47,64,69,74,79,84,92 Feesh7eghui9/Nee2sho6eiqu.java, line(s) 10,36,17,9,16,28,29,35,49,50 Hahquei4oogo/ahngooy3Quoo.java, line(s) 51,21,29,45 Hahquei4oogo/ahxe3Een1Aed.java, line(s) 38,32 Hahquei4oogo/aiCie0aighia.java, line(s) 115,101,172,78,98,116,80 Hahquei4oogo/ufieQuooZo5u.java, line(s) 39,35 Nuash1ahthaZ/Thew2erohPha.java, line(s) 31 Ootheim2quoa/ahpa7XaePhei.java, line(s) 127,142,79 OoveiJie4phi/AhX1eebeyo2j.java, line(s) 28 Ooxoong8aem4/ahxe3Een1Aed.java, line(s) 247,233,237,193 Rei2SeeNgung/Aig5aefeeng5.java, line(s) 97,85,116 Rei2SeeNgung/Bah7uaphei7I.java, line(s) 25 Rei2SeeNgung/Feesh7eghui9.java, line(s) 78,78 Rei2SeeNgung/Iok8aeKeiM1o.java, line(s) 254,257,298,92,111,118,207,217,232,281,293 Rei2SeeNgung/Jai9noozuXoh.java, line(s) 61,105,117,134,156,160,187,199,209,222,273 Rei2SeeNgung/No5wee9QuohL.java, line(s) 122 Rei2SeeNgung/Ootheim2quoa.java, line(s) 58,63,196,201,301,57,62,103,195,65,180,188,199,294,316,333,342,360 Rei2SeeNgung/Riel2oriengi.java, line(s) 77,76,91,95,97 Rei2SeeNgung/Thoh9teeWeev.java, line(s) 26,25 Rei2SeeNgung/aaghu8Wahto8.java, line(s) 58,49,50,57,83,84,35 Rei2SeeNgung/ahngooy3Quoo.java, line(s) 41,40 Rei2SeeNgung/ain1eDiew4ah.java, line(s) 91,106,110,118,132,154,172,140,145,162,90,105,109,117,128,153,171,46 Rei2SeeNgung/eiWaSh7ta1id.java, line(s) 42,56,120,160,111,111,119,154,175,188,204 Rei2SeeNgung/iep8vie7AeS4.java, line(s) 88,87 Rei2SeeNgung/ri4iTe0zooqu.java, line(s) 72 Rei2SeeNgung/uToo7Phaurei.java, line(s) 44,54,63,118,125,68,71,74,99,102,43,53,117,124 Rei2SeeNgung/ufieQuooZo5u.java, line(s) 35 Rei2SeeNgung/uoFu2doDoo5o.java, line(s) 39,49,90,84,119,67,67,87,101,105 Rei2SeeNgung/xooL2ootoh8k.java, line(s) 21,36,26,65,20,33 Riel2oriengi/AhX1eebeyo2j.java, line(s) 151,189,233 Shea4Iech2ma/ahxe3Een1Aed.java, line(s) 51,88 Xie5Haegie6U/tae4Oopiek7o.java, line(s) 1006,1010 Yean7aiwashe/ahpa7XaePhei.java, line(s) 135,223,226,147,148,249,255 aheit7ooXaic/Jiehah7nah8m.java, line(s) 44 aheit7ooXaic/Quainoh6phee.java, line(s) 23 aheit7ooXaic/aeTel6Ou5xei.java, line(s) 27 aheit7ooXaic/eig8peYa9Ges.java, line(s) 59,102,108,117,120 aheit7ooXaic/luZeeb9Leiv8.java, line(s) 22 aheit7ooXaic/tae4Oopiek7o.java, line(s) 77,157,164 aiCie0aighia/Quainoh6phee.java, line(s) 293,200,205,212,372,412 aiCie0aighia/XaizieC1nohg.java, line(s) 98 aiCie0aighia/aebeP0aeDebo.java, line(s) 133,49,65,78,124,398 aiCie0aighia/enie0pheiFob.java, line(s) 52 aiCie0aighia/juk8aiPhif9X.java, line(s) 79,111,125,377 aiCie0aighia/op1thaKuaPie.java, line(s) 165,191 aiCie0aighia/xooL2ootoh8k.java, line(s) 90 aiNgei1eid3l/ahpa7XaePhei.java, line(s) 107 ceigheiqu9Bo/aeTel6Ou5xei.java, line(s) 51,70,79 com/example/fcmexpr/keepalive/FirebaseMessagingKeepAliveService.java, line(s) 18,26 com/example/fcmexpr/keepalive/KeepAliveReceiver.java, line(s) 11 com/example/fcmexpr/keepalive/KeepAliveServiceMediaPlayback.java, line(s) 81,76,102 com/yGUayDSo/yPefjiprSK/FakeActivity.java, line(s) 22 com/yGUayDSo/yPefjiprSK/InstallReceiver.java, line(s) 28,38,47 com/yGUayDSo/yPefjiprSK/LocalVPNService.java, line(s) 45,51 com/yGUayDSo/yPefjiprSK/MainActivity.java, line(s) 55,64,76,82,175,222,230,66 eQuahfae5Aed/AiR7uerei4oB.java, line(s) 41 eQuahfae5Aed/No5wee9QuohL.java, line(s) 591,622,293,305,312,321,124,143,613 eQuahfae5Aed/Quainoh6phee.java, line(s) 528 eQuahfae5Aed/enie0pheiFob.java, line(s) 43,63,72,87,101,115,129 eg6tue6xaa4I/AhX1eebeyo2j.java, line(s) 103,114,118,57,75,121,132 juk8aiPhif9X/Iok8aeKeiM1o.java, line(s) 66 juk8aiPhif9X/ahpa7XaePhei.java, line(s) 30 juk8aiPhif9X/aiCie0aighia.java, line(s) 171 lae4aem1Eevu/Koh3xo4jen9x.java, line(s) 199 lae4aem1Eevu/tae4Oopiek7o.java, line(s) 33,40,43,52,82 ohYai5weuvae/Nee2sho6eiqu.java, line(s) 124,211,141,226 oo5naiMahXoe/AiR7uerei4oB.java, line(s) 42 oo5naiMahXoe/Quainoh6phee.java, line(s) 156,386 oo5naiMahXoe/aebeP0aeDebo.java, line(s) 49 oo5naiMahXoe/ahxe3Een1Aed.java, line(s) 252,361 oo5naiMahXoe/ood0Ab9chu1h.java, line(s) 49 roh8ahpahhuG/AiR7uerei4oB.java, line(s) 26 roh8ahpahhuG/Hahquei4oogo.java, line(s) 45 roh8ahpahhuG/Nee2sho6eiqu.java, line(s) 18 roh8ahpahhuG/Ooyaite8ahdo.java, line(s) 35 roh8ahpahhuG/XaizieC1nohg.java, line(s) 29 roh8ahpahhuG/ahpa7XaePhei.java, line(s) 215,233,344,350,354,360 roh8ahpahhuG/eQuahfae5Aed.java, line(s) 141,144,173,176,179,110,115 roh8ahpahhuG/eg6tue6xaa4I.java, line(s) 20 roh8ahpahhuG/thee6feegh4W.java, line(s) 45,50 roh8ahpahhuG/xohdahV8ooZ4.java, line(s) 54 roh8ahpahhuG/ziJu9oov0aoG.java, line(s) 101 shaejieYain5/AhX1eebeyo2j.java, line(s) 138,151,91,94 shaejieYain5/No5wee9QuohL.java, line(s) 31,52,66 shaejieYain5/Quainoh6phee.java, line(s) 35,72,170,34,71,85,122,169,208,237,267,86,123,209,238,268,42,198 shaejieYain5/aebeP0aeDebo.java, line(s) 26,35,25,34 shaejieYain5/ahpa7XaePhei.java, line(s) 113,126,147,250,277,292,112,125,146,249,276,291,143,163,175,230,299,320 shaejieYain5/eQuahfae5Aed.java, line(s) 23 shaejieYain5/enie0pheiFob.java, line(s) 60,59 shaejieYain5/luZeeb9Leiv8.java, line(s) 16,13,13 tooyuJ0mo4oo/Nee2sho6eiqu.java, line(s) 72,76 tugin1quahSh/Thew2erohPha.java, line(s) 35 tugin1quahSh/ahngooy3Quoo.java, line(s) 47,50,43,72,34,55,69 tugin1quahSh/ahpa7XaePhei.java, line(s) 10,20 ub2EisahFohh/AhX1eebeyo2j.java, line(s) 56,91 ufieQuooZo5u/Thew2erohPha.java, line(s) 54,248 ufieQuooZo5u/aiCie0aighia.java, line(s) 370,375 ufieQuooZo5u/eig8peYa9Ges.java, line(s) 79 ufieQuooZo5u/juk8aiPhif9X.java, line(s) 68 ufieQuooZo5u/luZeeb9Leiv8.java, line(s) 41,63 wei7Quadi6ai/AhX1eebeyo2j.java, line(s) 79,90 xooL2ootoh8k/AhX1eebeyo2j.java, line(s) 42
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: eg6tue6xaa4I/AhX1eebeyo2j.java, line(s) 149,142,147,149,146,143,143
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/652224930385/namespaces/firebase:fetch?key=AIzaSyBi7EVzF-1BG3A_JkmtjZPJkPhsYu7ncAM ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。