移动应用安全检测报告:
安全基线评分
安全基线评分 53/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
1
中危安全漏洞
25
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/wish/lmbank/activity/LauncherActivity.java, line(s) 410,20,21
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Activity (com.wish.lmbank.activity.FreeActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.dialer.DialerSearchActivitySKV) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.dialer.ContactActivityS) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.dialer.ContactDetailActivityV) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.dialer.CustomDialerActivityV) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.activity.RequestDefDiaActivityS) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.wish.lmbank.service.RecServiceSKV) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.wish.lmbank.service.UninstallServiceSKV) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.wish.lmbank.phone.PhoneActivitySKV) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.wish.lmbank.phone.PhoneCallServiceSKV) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INCALL_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Service (com.wish.lmbank.service.NotificationReServ) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Content Provider (com.wish.lmbank.provider.CusProviderVS) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.wish.lmbank.hellodaemon.WakeUpReceiverV) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.wish.lmbank.hellodaemon.WakeUpReceiverV$WakeUpAutoStartReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.wish.lmbank.hellodaemon.JobSchedulerServiceY) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 高优先级的Intent (1000) - {2} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b/f/b/d/a.java, line(s) 11 b/g/a/e/m/b.java, line(s) 4 c/b/d/a/w/i.java, line(s) 20 d/q/a.java, line(s) 4 d/q/b.java, line(s) 4 d/q/d/a.java, line(s) 4 e/k0/m/a.java, line(s) 24 e/k0/m/d.java, line(s) 11 org/jsoup/helper/DataUtil.java, line(s) 14
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b/f/b/d/a.java, line(s) 128,179 b/g/a/q/c.java, line(s) 11
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: b/g/a/d/h.java, line(s) 6,7,8,9,30,39,40,41,42,43,44,45,46,47,48,49,50,51,52
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b/g/a/b/a/g.java, line(s) 77 b/g/a/g/c.java, line(s) 83,83 com/wish/lmbank/base/BaseActivitySJKV.java, line(s) 72
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/wish/lmbank/common/Constants.java, line(s) 39 org/jsoup/helper/W3CDom.java, line(s) 26 org/jsoup/nodes/Comment.java, line(s) 7 org/jsoup/nodes/DataNode.java, line(s) 7 org/jsoup/nodes/DocumentType.java, line(s) 10,11,13 org/jsoup/nodes/TextNode.java, line(s) 8
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/wish/lmbank/activity/LauncherActivity.java, line(s) 407,412
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: b/g/a/g/c.java, line(s) 94
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "LKey" : "LMN" "OKey" : "OPQ" "disable_notify_key" : "disable_notify_key" 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 gVPxSIDoAwCfWac9bUL7yyTScuKf41xH f1V4kXUSQWaYQlUGM5mAAvrAZtITDcvL F9A2C89667E067B6C460C7332BA87336 DQfz8lSGIakDeTZw2r3FlYcTr6Y7FZqU
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b/a/b/a/a.java, line(s) 51 b/b/a/a/a/i/a.java, line(s) 253,257,1567,1579,1580 b/d/a/a/a/g.java, line(s) 55 b/d/a/a/q/a.java, line(s) 278 b/d/a/a/s/b.java, line(s) 129 b/d/a/a/t/a.java, line(s) 58 b/d/a/a/v/h.java, line(s) 156 b/f/a/a.java, line(s) 55,46,110,115 b/f/a/b.java, line(s) 20,28,43 b/f/a/e/a.java, line(s) 115,130,39,87,93,99,118,127 b/f/a/f/a/c.java, line(s) 81,94,98,128,78,91,103,126,165 b/f/a/f/a/d.java, line(s) 21,19 b/f/a/f/b/b.java, line(s) 25,62,68,88,49,77 b/f/a/f/c/a.java, line(s) 26,40,44,54,38 b/f/a/f/c/b.java, line(s) 122,143,161,208,227,230,201,239 b/f/a/h/c.java, line(s) 127,141,341,368,409,429,85,118,130,133,233,247,308,316,328,344,379,386,389,406 b/f/b/c/e.java, line(s) 25,34,42,55,85,113,128 b/f/b/c/f.java, line(s) 286,342,431,612,647,736,758,828,265,384,386,387,390,392,394,408,411,416,417,420,422,424,427,433,546,555,568,582,656,694,703,712,755,778,792,840 b/f/b/c/g.java, line(s) 51,62 b/f/b/d/g/d.java, line(s) 82,106,69,80,104,170 b/f/c/b/a.java, line(s) 40 b/f/c/c/a.java, line(s) 35,45 b/g/a/a/c.java, line(s) 19 b/g/a/b/a/a.java, line(s) 115,130,158,166,170 b/g/a/b/a/g.java, line(s) 80,79 b/g/a/b/b/h.java, line(s) 127,184,131,189 b/g/a/b/e/d.java, line(s) 74,79,337,363,404,419,225,374 b/g/a/d/e.java, line(s) 70 b/g/a/d/h.java, line(s) 85,104,110 b/g/a/e/l/c.java, line(s) 132 b/g/a/e/l/f.java, line(s) 296,208,289 b/g/a/g/d.java, line(s) 564,598,115,129,235 b/g/a/q/f.java, line(s) 48 b/g/a/q/g.java, line(s) 267 com/pedro/rtplibrary/view/LightOpenGlView.java, line(s) 124 com/pedro/rtplibrary/view/OpenGlView.java, line(s) 111 com/pedro/rtplibrary/view/OpenGlViewBase.java, line(s) 155 com/wish/lmbank/activity/FreeActivity.java, line(s) 129,194,210,221 com/wish/lmbank/activity/LauncherActivity.java, line(s) 405,447,584,602,620 com/wish/lmbank/activity/TestPhoneActivity.java, line(s) 162 com/wish/lmbank/activity/TestRTMPActivity.java, line(s) 42,47 com/wish/lmbank/base/BaseActivitySJKV.java, line(s) 253 com/wish/lmbank/dialer/CustomDialerActivityV.java, line(s) 202,229 com/wish/lmbank/hellodaemon/WatchDogServiceSKV.java, line(s) 92,96 com/wish/lmbank/parser/BaseNotificationParser.java, line(s) 65,105,132 com/wish/lmbank/phone/PhoneCallServiceSKV.java, line(s) 128 com/wish/lmbank/service/NotificationReServ.java, line(s) 45,55,59,65 com/wish/lmbank/service/RecServiceSKV.java, line(s) 469,472,1848,2314 com/wish/lmbank/sms/service/SmsReceiverServiceSKV.java, line(s) 91 com/wish/lmbank/view/CallCustomView.java, line(s) 129 org/jsoup/examples/HtmlToPlainText.java, line(s) 105,110 org/jsoup/examples/ListLinks.java, line(s) 45 wei/mark/standout/StandOutWindowKV.java, line(s) 553,565,572,611,615,716,720,742,352,361,383,388,414,466,712,369,395,421,575,600 wei/mark/standout/ui/WindowKV.java, line(s) 320,368
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: e/w.java, line(s) 143,142,150,141,141 org/jsoup/helper/HttpConnection.java, line(s) 586,502
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。