安全分析报告: 全民灭僵尸 v1.3.2

安全分数


安全分数 40/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 4
中危 18
信息 1
安全 0
关注 4

高危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 Activity (cn.play.dserv.EmpActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (8) 更新到 29 或更高版本以在平台级别修复此问题。

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
cn/play/dserv/DsReceiver.java, line(s) 27

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/chinaMobile/d.java, line(s) 44

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 2.2-2.2.3, [minSdk=8]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (VideoActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (cn.play.dserv.EmpActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (cn.play.dserv.DsReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.appabc.island.NetWorkChangeBroadcastReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (com.appabc.island.JapanService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Service (com.baidu.location.f) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 高优先级的Intent (1000) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 高优先级的Intent (1000) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/appabc/island/JapanService.java, line(s) 24
com/chinaMobile/MobileAgent.java, line(s) 67
com/tencent/mm/sdk/constants/ConstantsAPI.java, line(s) 21,20

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
cn/egame/terminal/paysdk/EgameFileUtils.java, line(s) 22
cn/play/dserv/CheckTool.java, line(s) 133,151
cn/play/dserv/DService.java, line(s) 31,140
mm/sms/purchasesdk/f/d.java, line(s) 80
mm/sms/purchasesdk/f/e.java, line(s) 17,76

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
cn/egame/terminal/paysdk/codec/MD5.java, line(s) 19
cn/egame/terminal/sdk/log/al.java, line(s) 9
com/appabc/island/JapanZombie.java, line(s) 173
com/chinaMobile/g.java, line(s) 35
com/example/assetexam/Until.java, line(s) 25,45
com/tencent/mm/a/a.java, line(s) 8

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,46

中危 IP地址泄露 

IP地址泄露


Files:
com/chinaMobile/MobileAgent.java, line(s) 715,1070

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/chinaMobile/MobileAgent.java, line(s) 28

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
2faaba4dc407380d457235fe804e0f2c8
7243BD0BDEE293BCAF3D9A83BF32D38D
134e3265829ff82daf16e7b740a600b5
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

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/egame/terminal/paysdk/EgameFileUtils.java, line(s) 113,115,117,119,121,123,125,127,129
cn/egame/terminal/paysdk/EgamePay.java, line(s) 49,52
cn/play/dserv/CheckTool.java, line(s) 279,235,260
cn/play/dserv/JSON.java, line(s) 714,715
cn/play/dserv/StringUtil.java, line(s) 75,78,81
com/appabc/island/IAPListener.java, line(s) 22,32,42
com/appabc/island/JapanService.java, line(s) 75,40,62,71,94,99
com/appabc/island/JapanZombie.java, line(s) 77,345,490,492
com/appabc/island/SharedPreferencesUtils.java, line(s) 25,100
com/appabc/island/VideoActivity.java, line(s) 17
com/chinaMobile/MobileAgent.java, line(s) 394,396,553,555,560,308,818,903,919,1068
com/chinaMobile/c.java, line(s) 32
com/chinaMobile/g.java, line(s) 123,126,144,231,273,167,172,197,234
com/chinaMobile/k.java, line(s) 73
com/example/assetexam/LoginUser.java, line(s) 24,59,92,96,102,104
com/example/assetexam/PackageUtils.java, line(s) 104,243,324,71,94
com/example/assetexam/Until.java, line(s) 153
com/example/assetexam/Welcome.java, line(s) 59,60,70,71,93,109,110,132,272,273,283,284,311,312,344
com/example/assetexam/WelcomeEx.java, line(s) 40,56,59
com/tencent/mm/sdk/b/b.java, line(s) 27,36,18
mm/sms/purchasesdk/c/a.java, line(s) 70
mm/sms/purchasesdk/d.java, line(s) 37
mm/sms/purchasesdk/f/d.java, line(s) 25,49,33,57,37,61,29,53
org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 91,93,98
org/cocos2dx/lib/Cocos2dxBitmap.java, line(s) 283,95
org/cocos2dx/lib/Cocos2dxETCLoader.java, line(s) 35,50
org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 52,62,285
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 51,85
org/cocos2dx/lib/Cocos2dxMusic.java, line(s) 44,55,89,153
org/cocos2dx/lib/Cocos2dxSound.java, line(s) 184

关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (da.mmarket.com) 通信。 

{'ip': '120.232.188.83', 'country_short': 'CN', 'country_long': 'China', 'region': 'Guangdong', 'city': 'Guangzhou', 'latitude': '23.127361', 'longitude': '113.264252'}

关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (www.talkingdata.net) 通信。 

{'ip': '116.196.122.26', 'country_short': 'CN', 'country_long': 'China', 'region': 'Beijing', 'city': 'Beijing', 'latitude': '39.907501', 'longitude': '116.397232'}

关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (gaandroid.talkingdata.net) 通信。 

{'ip': '116.198.14.107', 'country_short': 'CN', 'country_long': 'China', 'region': 'Beijing', 'city': 'Beijing', 'latitude': '39.907501', 'longitude': '116.397232'}

关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (open.play.cn) 通信。 

{'ip': '180.96.49.16', 'country_short': 'CN', 'country_long': 'China', 'region': 'Jiangsu', 'city': 'Nanjing', 'latitude': '32.061668', 'longitude': '118.777779'}

安全评分: ( 全民灭僵尸 1.3.2)