安全分析报告: 尾巴漫画 v1.0.1

安全分数


安全分数 67/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 0
中危 6
信息 2
安全 2
关注 1

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/example/myapplication/WebViewActivity.java, line(s) 269,188

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/example/myapplication/WebViewActivity.java, line(s) 201,188

中危 IP地址泄露 

IP地址泄露


Files:
com/example/myapplication/LoadingActivity.java, line(s) 36

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
d/b/a/a/a.java, line(s) 86,87

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
c/b/a.java, line(s) 114,128,140
c/b/c/e.java, line(s) 168
c/b/c/h.java, line(s) 781,783,786,1225,1335,1399,1402
c/b/c/o.java, line(s) 33
c/b/g/f.java, line(s) 129,166,178,188,347
c/b/h/a0.java, line(s) 57,66,155,188
c/b/h/a1.java, line(s) 95,161
c/b/h/d1.java, line(s) 21,31
c/b/h/j.java, line(s) 154
c/b/h/k0.java, line(s) 358,162,167,174,261,341
c/b/h/m0.java, line(s) 105
c/b/h/n0.java, line(s) 47,62,87,313
c/b/h/r0.java, line(s) 84,107,207,221
c/b/h/w.java, line(s) 90,144,149,177
c/b/h/z0.java, line(s) 320,359
c/f/b/b.java, line(s) 70
c/f/b/c.java, line(s) 670,694
c/h/b/d.java, line(s) 30
c/h/b/e.java, line(s) 67
c/h/b/f.java, line(s) 114,123,137,157,507,656
c/h/c/b/g.java, line(s) 74
c/h/d/b.java, line(s) 45,50
c/h/d/c.java, line(s) 35
c/h/d/d.java, line(s) 57
c/h/d/e.java, line(s) 44
c/h/d/f.java, line(s) 53,226
c/h/f/a.java, line(s) 21
c/h/i/a.java, line(s) 39
c/h/j/a.java, line(s) 233
c/h/j/b.java, line(s) 48
c/h/j/e.java, line(s) 155,173,196
c/h/j/k.java, line(s) 243
c/h/j/o.java, line(s) 19,30
c/j/b/e.java, line(s) 315
c/k/a/e.java, line(s) 194,196,223,340,342
c/k/a/k.java, line(s) 1880,1881,1892
c/q/y.java, line(s) 39
c/r/a/a/b.java, line(s) 252
com/example/myapplication/LoadingActivity.java, line(s) 91
d/b/a/a/b.java, line(s) 35,54
d/c/a/a/c/g.java, line(s) 45
d/c/a/a/r/b.java, line(s) 109
d/c/a/a/s/a.java, line(s) 18
f/k0/c.java, line(s) 51
f/k0/k/i/d.java, line(s) 39

信息 应用程序可以写入应用程序目录。敏感信息应加密 

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/example/myapplication/LoadingActivity.java, line(s) 388,388
d/b/a/b/c.java, line(s) 15,15

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
f/k0/k/c.java, line(s) 105,103,102
f/k0/k/d.java, line(s) 128,117,126,134,125,125,127
f/k0/k/g.java, line(s) 105,103,102,102
f/k0/k/h.java, line(s) 159,146,157,156,156

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (kf.wbgoodmh.top) 通信。 

{'ip': '103.135.101.5', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

安全评分: ( 尾巴漫画 1.0.1)