安全分析报告: Peach VPN v4.0

安全分数


安全分数 50/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 0
中危 10
信息 1
安全 0
关注 2

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 IP地址泄露 

IP地址泄露


Files:
com/peacholo/peach/Service/MyVPNService.java, line(s) 17,16
dev/dev7/lib/v2ray/services/V2rayVPNService.java, line(s) 94,95,60,93,60,96

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
bin/mt/signature/KillerApplication.java, line(s) 78
dev/dev7/lib/v2ray/utils/Utilities.java, line(s) 98

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/peacholo/peach/BackendResistance/BackendResistanceHelper.java, line(s) 10

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-3228663599583295~3308873745"
nDIxmkrds0PIhg4D5wdfBbTyJRR0L8WUeERw9lBWHpeULk5n1+c2jzvYf0AiXHUa3fL9IIxNtLLaD
nu7quNwvcWD+U6I2MqIg4xoUuX7NpWxy7qT6C4QrBkYJpVYXMLNJhMZsBDK1ealX77g3XYW4Hchfa
nMRAwDgYDVQQLEwdBbmRyb2lkMRAwDgYDVQQDEwdBbmRyb2lkMIICIjANBgkqhkiG9w0BAQEFAAOC
nG19j98ErOI9+KTg5A5WxoukIJEW5j3i5LTa51VNE49Jkpo0r/octNOb4cLLZo+0fPlmCX+fe07XF
nCkNhbGlmb3JuaWExFjAUBgNVBAcTDU1vdW50YWluIFZpZXcxFDASBgNVBAoTC0dvb2dsZSBJbmMu
nKhC7WkwLU4k4e51Ye4xCmpPSdraHYrBjdpre5xFFj0L0K4lYYrAOaKCfaJrGJa9TARuOe1OK0sPY
nQPvlQQp9M4KFwyW1N1OkvYTh7QtisGnA6APxsC47Pu9EV7Q4cHvwVQzt5OPzJCvw7m00TTHBoIgr
nn+pFPvQFEdqUWWsCAwEAAaMQMA4wDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAKJmG
nNa2kbZYbwTGTtCC+UDXla350G7RsHxL1o0Rj6uJ0Vwtrn5w4iDN3ZW0V5ZOMu8QDGqBOVNB4rWgs
MIIFiTCCA3GgAwIBAgIVAJ9/wQZuE7tvluTIgM3EZSHQ3ZE9MA0GCSqGSIb3DQEBCwUAMHQxCzAJ
nCvCRADyp3clGus8VOVmphggPL0OtK8toIefDvQJNnxN81sXrcypjUdWI/TM5V5fgxUMuFR8=
nAg8AMIICCgKCAgEAjYNRX5S8DsOPdJO8LOJFq6iUJDj0/aKOYx1KkiOJAPGOqBXZQqSxYnv125QV
nXy8LTyyL8R+irCHSU0dRgnCLC2azafHB6et7MyVsy5Wz+f2Uf3jaq8Gzd1WRSX96X/6Y7X6PaHmC
nBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRQw
nxVNN8wZ0g3oTZJIpniU26XTbSGqvG3zhrCaQK8Zso4eANzS3UU5gZ/d2uKqnNYnaQUInmEtB4kPh
nFw0yNDAzMDQxNTA4MzVaGA8yMDU0MDMwNDE1MDgzNVowdDELMAkGA1UEBhMCVVMxEzARBgNVBAgT
nEgYDVQQKEwtHb29nbGUgSW5jLjEQMA4GA1UECxMHQW5kcm9pZDEQMA4GA1UEAxMHQW5kcm9pZDAg
0dd1347e-e342-456c-b802-777
nCGPWmOt8lrnEQRMXkz23aqDhrFa+kG4tPRgwHXS0sec7jYY+JYtmVgFhWoVkWF764tL2gsDCZkRu
nfAQ0zIVLMUAeVifh5XXsJoXykKv3Qy4+EhmE06s+4303XwxqN+Ekyb5rqtCyGbsqgaicrUJ5j4+w

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
bin/mt/signature/KillerApplication.java, line(s) 117,127,162
com/peacholo/peach/Activity/NetworkActivity.java, line(s) 163
dev/dev7/lib/v2ray/core/V2rayCoreManager.java, line(s) 71,79,87,258,261,290,292,301,320,325,335,337,341
dev/dev7/lib/v2ray/services/V2rayProxyOnlyService.java, line(s) 75
dev/dev7/lib/v2ray/services/V2rayVPNService.java, line(s) 36,38,48,210
dev/dev7/lib/v2ray/utils/Utilities.java, line(s) 89,201,197
org/lsposed/hiddenapibypass/HiddenApiBypass.java, line(s) 74,313

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.151.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (googleads.g.doubleclick.net) 通信。 

{'ip': '180.163.150.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Peach VPN 4.0)