安全分析报告: 益智拼图 v2.2

安全分数


安全分数 32/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 5
中危 4
信息 1
安全 1
关注 0

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 基本配置配置为绕过证书固定。 

Scope:
*

高危 基本配置配置为信任用户安装的证书。 

Scope:
*

高危 基本配置配置为绕过证书固定。 

Scope:
*

高危 Activity (com.happytime.find.subway.free.activity.MainActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

中危 基本配置配置为信任系统证书。 

Scope:
*

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 236
com/yalantis/ucrop/f/e.java, line(s) 124

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/happytime/find/subway/free/activity/SanLuanPuzzleActivity.java, line(s) 35
com/happytime/find/subway/free/model/Board.java, line(s) 8

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/a/a/i.java, line(s) 102,99
a/a/a/m/a.java, line(s) 346
a/a/a/n/a.java, line(s) 145,170,182,144,169,181,77
a/a/a/n/d.java, line(s) 69,99,68,98
a/a/a/o/a.java, line(s) 146,145
a/a/a/p/h/a.java, line(s) 30,31
a/a/a/p/h/f.java, line(s) 47,46
a/a/a/p/h/g.java, line(s) 31,32
a/a/a/p/i/a.java, line(s) 72,71,101,106,118,129,181,187,199,219,224,236,157
a/a/a/p/i/c.java, line(s) 219,227,235,245,172
a/a/a/p/i/i.java, line(s) 40,39,89,90
a/a/a/p/i/m/f.java, line(s) 97,141,153,165,55,85,96,124,131,140,152,164,176,61,125,132,177,86
a/a/a/p/i/n/e.java, line(s) 48,73,91,49,74,94
a/a/a/p/i/n/i.java, line(s) 99,85
a/a/a/p/i/o/a.java, line(s) 96,95
a/a/a/p/j/n.java, line(s) 24,25
a/a/a/p/j/o.java, line(s) 21,20
a/a/a/p/k/g/i.java, line(s) 101
a/a/a/p/k/g/j.java, line(s) 69,68,102,103
a/a/a/q/k.java, line(s) 132,133,144
a/a/a/t/a.java, line(s) 285,182,284,310,317,332,338,154
a/a/a/t/h/k.java, line(s) 43,44
a/a/a/v/a.java, line(s) 27,26
com/happytime/find/subway/free/activity/RectyclePuzzleActivity.java, line(s) 211,217
com/happytime/find/subway/free/activity/SanLuanPuzzleActivity.java, line(s) 149,155
com/happytime/find/subway/free/activity/SplashActivity.java, line(s) 283,289,302,307,349
com/happytime/find/subway/free/c/c.java, line(s) 245,417,622,631,637,642,660,143,148
com/happytime/find/subway/free/d/g.java, line(s) 69
com/happytime/find/subway/free/model/Game.java, line(s) 157
com/happytime/find/subway/free/newpuzzle/a.java, line(s) 291,293
com/yalantis/ucrop/UCropActivity.java, line(s) 712
com/yalantis/ucrop/e/a.java, line(s) 96
com/yalantis/ucrop/e/b.java, line(s) 56,100,180,186,200,207,235,238
com/yalantis/ucrop/f/a.java, line(s) 51,99,109
com/yalantis/ucrop/f/c.java, line(s) 70
com/yalantis/ucrop/f/e.java, line(s) 132
com/yalantis/ucrop/f/f.java, line(s) 131,166,176,188,202,218,228,231,234,237,240,254,259,272,277,165,175,187,201,217,227,230,233,236,239,253,258,271,276
com/yalantis/ucrop/view/OverlayView.java, line(s) 164,167
com/yalantis/ucrop/view/b.java, line(s) 140,54,221
org/greenrobot/eventbus/b.java, line(s) 43
org/greenrobot/eventbus/c.java, line(s) 175,127,136,138,363

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( 益智拼图 2.2)