安全分析报告: 贵州信访 v1.0.37

安全分数


安全分数 50/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 1
中危 19
信息 1
安全 1
关注 13

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
com/jschrj/xf/MyApplication.java, line(s) 51,10,11,12,13,14,15
com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 92,18,19,20

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity设置了TaskAffinity属性 

(com.jschrj.xf.MyPandoraEntry)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性 

(com.jschrj.xf.MyPandoraEntryActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity设置了TaskAffinity属性 

(com.igexin.sdk.PushActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性 

(com.igexin.sdk.GActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.igexin.sdk.GActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (com.getui.gtc.GtcService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Service (com.igexin.sdk.GService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Broadcast Receiver (io.dcloud.common.adapter.io.DownloadReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.meizu.cloud.pushsdk.MzPushSystemReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.meizu.flyme.permission.PUSH [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 25,26,28,53,107
com/hst/fsp/internal/FspEngineImpl.java, line(s) 259,259
com/leon/lfilepickerlibrary/ui/LFilePickerActivity.java, line(s) 65,230
com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53
com/zlylib/fileselectorlib/SelectOptions.java, line(s) 9
com/zlylib/fileselectorlib/ui/FileSelectorActivity.java, line(s) 49
com/zlylib/fileselectorlib/utils/ConvertUtils.java, line(s) 328
com/zlylib/fileselectorlib/utils/FileUtils.java, line(s) 92,100
com/zlylib/fileselectorlib/utils/LogUtils.java, line(s) 108
com/zlylib/fileselectorlib/utils/PathUtils.java, line(s) 19
droidninja/filepicker/utils/ContentUriUtils.java, line(s) 38

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 36

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/baidu/aip/core/mini/AutoCheck.java, line(s) 235
com/jschrj/xf/BuildConfig.java, line(s) 11
droidninja/filepicker/utils/ImageCaptureManager.java, line(s) 21

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
XI/K0/XI/XI.java, line(s) 77

中危 IP地址泄露 

IP地址泄露


Files:
com/hst/fspsdk/BuildConfig.java, line(s) 9

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
百度语音识别的=> "com.baidu.speech.APP_ID" : "18228363"
个推–推送服务的=> "PUSH_APPKEY" : "unipush的key"
个推–推送服务的=> "PUSH_APPID" : "unipush的appid"
百度语音识别的=> "com.baidu.speech.SECRET_KEY" : "0dXod25xFrmp42c6dHqlfGVP5cDHsHjB"
个推–推送服务的=> "PUSH_APPSECRET" : "unipush的secret"
DCloud(数字天堂)的=> "dcloud_appkey" : "db50ad728bea55a6dda14efce666bcdb"
高德地图的=> "com.amap.api.v2.apikey" : "8397b92a63b8b383f8f196f60e7ad0fc"
个推–推送服务的=> "GETUI_APPID" : "unipush的appid"
百度语音识别的=> "com.baidu.speech.API_KEY" : "833WOHj6QDmn4X7fcMMpEkdt"
"dcloud_permissions_reauthorization" : "reauthorize"
2AE67A6C5A1C680278CAA4BD988F35C3

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69
androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 79,87,170,200
androidtranscoder/engine/QueuedMuxer.java, line(s) 95,97,105
androidtranscoder/engine/TextureRender.java, line(s) 50,62,63,78,79,97
androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 20
com/baidu/aip/core/recog/listener/RecogEventAdapter.java, line(s) 20
com/dmcbig/mediapicker/PreviewActivity.java, line(s) 260
com/hst/fsp/internal/FspEngineImpl.java, line(s) 631,639,643,1115,1128
com/hst/fsp/internal/ScreenCapture.java, line(s) 89,174,199,103,187
com/jschrj/filepickerplugin/AppProxy.java, line(s) 21
com/jschrj/mobileloginplugin/AppProxy.java, line(s) 21
com/jschrj/mobileloginplugin/MobileLoginModule.java, line(s) 40,70
com/jschrj/xf/AppProxy.java, line(s) 14
com/jschrj/xf/TtsUtil.java, line(s) 38,55,76
com/zlylib/fileselectorlib/utils/LogUtils.java, line(s) 58,102,44,80,145
org/greenrobot/eventbus/Logger.java, line(s) 82,87
org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34
org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 188
org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 25

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 90,92

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (stream.dcloud.net.cn) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (access.paas.hst.com) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '宿迁', 'latitude': '33.933334', 'longitude': '118.283333'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpsapi.amap.com) 通信。 

{'ip': '183.60.176.112', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (opencloud.wostore.cn) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk.open.phone.igexin.com) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mst01.is.autonavi.com) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (c-hzgt2.getui.com) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wb.amap.com) 通信。 

{'ip': '106.11.226.99', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。 

{'ip': '183.60.176.112', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.cmpassport.com) 通信。 

{'ip': '112.33.111.233', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cgicol.amap.com) 通信。 

{'ip': '49.79.224.240', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.189.cn) 通信。 

{'ip': '42.123.76.65', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m3w.cn) 通信。 

{'ip': '115.150.38.244', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '赣州', 'latitude': '25.850000', 'longitude': '114.933327'}

安全评分: ( 贵州信访 1.0.37)