安全分析报告: Age Calculator: Birth Date v1.0.0

安全分数


安全分数 50/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 0
中危 9
信息 1
安全 0
关注 0

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/appsflyer/internal/AFa1wSDK.java, line(s) 17
com/appsflyer/internal/AFb1pSDK.java, line(s) 11

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/agecalculator/birthdate27/WebViewActivity.java, line(s) 27,29

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/agecalculator/birthdate27/WebViewActivity.java, line(s) 32,29

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/appsflyer/internal/AFb1zSDK.java, line(s) 58

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/appsflyer/internal/AFb1zSDK.java, line(s) 34

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
96e824a8-de5e-4b62-8f39-d68be86a7641
FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212
3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901
E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/appsflyer/AFLogger.java, line(s) 47,76,139,45,11,65,58
com/appsflyer/internal/AFa1dSDK.java, line(s) 4205
com/appsflyer/internal/AFd1eSDK.java, line(s) 102,118,133,157,172,191,215
com/appsflyer/internal/AFd1fSDK.java, line(s) 20,22,23
com/appsflyer/internal/AFd1kSDK.java, line(s) 21,29
com/appsflyer/internal/AFd1nSDK.java, line(s) 62,77,127,129,140,145
com/appsflyer/internal/AFd1oSDK.java, line(s) 36
com/appsflyer/internal/AFd1pSDK.java, line(s) 14
com/appsflyer/internal/AFd1sSDK.java, line(s) 74,79
com/appsflyer/internal/AFd1tSDK.java, line(s) 95,93,174,91,163
com/appsflyer/internal/AFd1uSDK.java, line(s) 85,102,39
com/appsflyer/internal/AFe1kSDK.java, line(s) 32,35,36,76
com/appsflyer/internal/AFe1rSDK.java, line(s) 93
com/appsflyer/internal/AFe1uSDK.java, line(s) 196,199,203,213,214,219,223,230,237,243,252,257,264,330,331,336,350,353,377,402
com/appsflyer/internal/AFf1bSDK.java, line(s) 149,177,183,324,150,164,172,178,186

安全评分: ( Age Calculator: Birth Date 1.0.0)