页面标题
页面副标题
移动应用安全检测报告
VPN Japan v1.129
55
安全评分
安全基线评分
55/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
0
高危
23
中危
2
信息
2
安全
隐私风险评估
3
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
0
中危安全漏洞
23
安全提示信息
2
已通过安全项
2
重点安全关注
0
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.vpn.lib.feature.naviagation.NavigationActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.vpn.lib.feature.banner.BannerActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.github.shadowsocks.VpnRequestActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (de.blinkt.openvpn.api.ExternalOpenVPNService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (de.blinkt.openvpn.api.GrantPermissionsActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (de.blinkt.openvpn.api.ConfirmDialog) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (de.blinkt.openvpn.OnBootReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(de.blinkt.openvpn.LaunchVPN) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity (de.blinkt.openvpn.LaunchVPN) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.google.android.gms.nearby.exposurenotification.WakeUpService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.nearby.exposurenotification.EXPOSURE_CALLBACK [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 高优先级 Intent(999) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/github/shadowsocks/bg/ProxyInstance.java, line(s) 167 com/github/shadowsocks/preference/DataStore.java, line(s) 42,42 de/blinkt/openvpn/core/OpenVPNService.java, line(s) 444,447 de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 50 de/blinkt/openvpn/core/OrbotHelper.java, line(s) 53
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: de/blinkt/openvpn/api/ExternalAppDatabase.java, line(s) 13 de/blinkt/openvpn/api/ExternalOpenVPNService.java, line(s) 38
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: de/blinkt/openvpn/api/AppRestrictions.java, line(s) 185 de/blinkt/openvpn/core/LogItem.java, line(s) 130
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/vpn/lib/App.java, line(s) 47 l/e.java, line(s) 24
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/vpn/lib/injection/NetworkModule.java, line(s) 22,32 com/vpn/lib/pem/PemHeader.java, line(s) 106
中危安全漏洞 Firebase远程配置已启用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/987955401449/namespaces/firebase:fetch?key=AIzaSyCNsmrfObcLXeZKUsP7yOVeu5EIb2jtHgc ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:
{
"entries": {
"reserve_urls": "{\"urls\":[\"https://fornormalget.click/api/\",\"https://getdatafrom.top/api/\",\"https://androidvpn.top/api/\",\"https://iosvpn.top/api/\"]}"
},
"state": "UPDATE",
"templateVersion": "16"
}
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "@string/admob_app_id" "state_auth" : "verification" "google_api_key" : "AIzaSyCNsmrfObcLXeZKUsP7yOVeu5EIb2jtHgc" "google_crash_reporting_api_key" : "AIzaSyCNsmrfObcLXeZKUsP7yOVeu5EIb2jtHgc" "password" : "password" "firebase_database_url" : "https://japan-vpn-t2f.firebaseio.com" "google_app_id" : "1:987955401449:android:8088c66507149de1" "admob_app_id" : "ca-app-pub-2765862849701377~8800694188" "com.google.firebase.crashlytics.mapping_file_id" : "daaf6f4d5778411e8ec5814e7c553460" "sitekey" : "Password" 5AC635D8AA3A93E7B3EBBD55769886BC651D06B0CC53B0F63BCE3C3E27D2604B f1aab1fb633378621635c344dbc8ac7b nBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRQw nhaQ1/qq2adiCKAuln1r5NRwhSiUpk8EDZpkdSDT3r6sOoSDdmGsVfz0dMF0awfIbjaNwNGCKdeHH a79ada0ab5ab3b894f420add507b1e8f nYWxpZm9ybmlhMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEQ AA87CA22BE8B05378EB1C71EF320AD746E1D3B628BA79B9859F741E082542A385502F25DBF55296C3A545E3872760AB7 94a7fe8226719d48c1ec5aa5a851976f 3617DE4A96262C6F5D9E98BF9292DC29F8F41DBD289A147CE9DA3113B5F0B8C00A60B1CE1D7E819D7A431D7C90EA0E5F UTI5MWJHUnVKM1FnYjNCbGJpQlVaV3hsWjNKaGJRPT0= FFFFFFFF00000000FFFFFFFFFFFFFFFFBCE6FAADA7179E84F3B9CAC2FC632551 6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296 YUhSMGNITTZMeTkwTG0xbEwwVjZRV05qWlhOeg== B3312FA7E23EE7E4988E056BE3F82D19181D9C6EFE8141120314088F5013875AC656398D8A2ED19D2A85C8EDD3EC2AEF 8D91E471E0989CDA27DF505A453F2B7635294F2DDF23E3B122ACC99C9E9F1E14 nEgYDVQQKEwtHb29nbGUgSW5jLjEQMA4GA1UECxMHQW5kcm9pZDEQMA4GA1UEAxMHQW5kcm9pZDAe nrtCnKohoVM3Rk++o0E54K+80ufQ9luqLrbKsYgUMjYNNDAbxqQHmp/1LdVAJfsgpwM3LmX66Kodk nHMvGQwz8rDF52bsK6IWn/de+aVsn2d+uKcQx8RUi0VhEvBBIVpMed5Ei3CrDugctuBo4m4ltbefd nO2RjBv1dgWWqX6P7YzwZ9VtJNiuAL8qu2rcsFFOgGJ7nYDwlwzJifejjPUCbeu2qTravhZSqxyga ndc4jSWxztN3Oi/Sg1rb7t3oZ7IP300sy8pfFBubBgDBObRH5mash7EOFqLo8iJ3othybTKHlRXrS n0981XfDbLg5vAgMBAAGjEDAOMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggIBAFCWLSng nTcQHSisnQchDvwdyJLHtDvRqm0IyTGttjj+BYphuTWGSPyKKa+sdKW87shQ+HLTNKNHl 4FE342E2FE1A7F9B8EE7EB4A7C0F9E162BCE33576B315ECECBB6406837BF51F5 50a2f820189a2c3c2bf7148b04a60194 nkBHJo87cRMfQgDp+qtohyD1w2Yn0HtbuKfKmt7ssPTgploIWJKgW7ijHdEr5ZYjOgRc/qOSBRatE 05e67ac7c4c84636da5eb4568f7466e8 nJcZwMpvXHWVaOk6u49TzkUzXOto1c0fp/38ud9fd0DO3amaFTmAcD7efLJEXeg6hM8eX9wM6zwsR nMA4GA1UECxMHQW5kcm9pZDEQMA4GA1UEAxMHQW5kcm9pZDCCAiIwDQYJKoZIhvcNAQEBBQADggIP MIIFhzCCA2+gAwIBAgIVAKeK4aSFaC3pDv+k9St2r9BdNN3kMA0GCSqGSIb3DQEBCwUAMHQxCzAJ nFw0xOTAzMjMxNTE0MjdaFw00OTAzMjMxNTE0MjdaMHQxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpD 5b5c55a1277c63e14416316f9198ed43 nc99w8zAXbzOMGTwso0n/rKV+pkOj3OlX2zNyzgyQCDg9d8YqvvBgFjybjkZnTNExGqVEmtWvw5zz WVc1a2NtOXBaQzVwYm5SbGJuUXVZV04wYVc5dUxsWkpSVmM9
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bn/ignre/pplition1.java, line(s) 155,238 com/github/shadowsocks/Core$init$2.java, line(s) 12,14 com/pairip/licensecheck/LicenseActivity.java, line(s) 93,71 com/pairip/licensecheck/LicenseClient.java, line(s) 77,90,121,138,168,196,187,112 com/vpn/lib/App.java, line(s) 143 com/vpn/lib/NearbyAPIHelper.java, line(s) 41,49,52,67,76,92,99,58 com/vpn/lib/b.java, line(s) 49,59,64,24,35 com/vpn/lib/c.java, line(s) 77,63,66 com/vpn/lib/data/repo/RepositoryImpl.java, line(s) 283,378 com/vpn/lib/feature/dashboard/DashboardFragment.java, line(s) 204,977 com/vpn/lib/feature/dashboard/DashboardPresenterImpl.java, line(s) 134,168,207,333,526,568,693 com/vpn/lib/feature/dashboard/i.java, line(s) 178 com/vpn/lib/feature/dashboard/j.java, line(s) 39 com/vpn/lib/feature/historylist/HistoryListFragment.java, line(s) 62 com/vpn/lib/feature/historylist/b.java, line(s) 47,48 com/vpn/lib/feature/naviagation/NavigationActivity.java, line(s) 326,380,381,684,853,1922 com/vpn/lib/feature/naviagation/m.java, line(s) 24,30 com/vpn/lib/feature/removead/RemoveAdFragment.java, line(s) 151 com/vpn/lib/feature/serverlist/ServerListPresenterImpl.java, line(s) 89 com/vpn/lib/feature/settings/c.java, line(s) 103,108,113 com/vpn/lib/feature/splash/SplashActivity.java, line(s) 326 com/vpn/lib/feature/splash/a.java, line(s) 152,168 com/vpn/lib/util/PingHelper.java, line(s) 171,122,131 dagger/android/AndroidInjection.java, line(s) 45,44 de/blinkt/openvpn/FileProvider.java, line(s) 106 de/blinkt/openvpn/core/OpenVPNService.java, line(s) 708 de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 210 de/blinkt/openvpn/core/StatusListener.java, line(s) 144,136,132,140,142 eightbitlab/com/blurview/BlurView.java, line(s) 45 me/drakeet/support/toast/SafeToastContext.java, line(s) 41,48,44 timber/log/Timber.java, line(s) 69,88
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://japan-vpn-t2f.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 基本配置配置为禁止到所有域的明文流量。
Scope: *
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/vpn/lib/data/repo/RepositoryImpl.java, line(s) 429,487,491,326 com/vpn/lib/feature/dashboard/DashboardPresenterImpl.java, line(s) 582,879,886,342 com/vpn/lib/injection/NetworkModule.java, line(s) 46,46
综合安全基线评分总结
VPN Japan v1.129
Android APK
55
综合安全评分
中风险