安全分析报告： 芭樂視頻 v2.2.16

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/danikula/videocache/ProxyCacheUtils.java, line(s) 71
com/download/library/DownloadTask.java, line(s) 365
com/download/library/Downloader.java, line(s) 317,325,549
com/download/library/Runtime.java, line(s) 242,260
com/just/agentweb/AgentWebUtils.java, line(s) 797
com/legendsoft/ui_bale/utils/cache/Utils.java, line(s) 43
org/litepal/util/cipher/CipherUtil.java, line(s) 38

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/legendsoft/bale_patch_2_2_16/app/ConstantThis.java, line(s) 17,8,9,13
com/legendsoft/ui_bale/main/Constant.java, line(s) 11,14
com/legendsoft/ui_bale/ui/main/fragment/RankFragment.java, line(s) 55
com/uuzuche/lib_zxing/decoding/Intents.java, line(s) 45
org/android/spdy/SpdyProtocol.java, line(s) 42
org/litepal/util/cipher/CipherUtil.java, line(s) 10

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/danikula/videocache/StorageUtils.java, line(s) 23,42
com/download/library/Downloader.java, line(s) 152
com/just/agentweb/AgentWebUtils.java, line(s) 162,497
com/yalantis/ucrop/util/FileUtils.java, line(s) 87
org/litepal/Operator.java, line(s) 93
org/litepal/tablemanager/Connector.java, line(s) 35,37

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/legendsoft/ui_bale/ui/main/activity/FindGirlFragment.java, line(s) 26
com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 15
com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 25
com/scwang/smartrefresh/header/storehouse/StoreHouseBarItem.java, line(s) 8
org/android/spdy/SpdyBytePool.java, line(s) 3

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/just/agentweb/AbsAgentWebSettings.java, line(s) 58,35
com/tencent/as/javask.java, line(s) 126,127

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,28
org/litepal/Operator.java, line(s) 6,523
org/litepal/tablemanager/AssociationCreator.java, line(s) 5,115
org/litepal/tablemanager/Generator.java, line(s) 4,54
org/litepal/util/DBUtility.java, line(s) 4,77,78,81,82,95,96,104,134,175,181

IP地址泄露


Files:
com/danikula/videocache/HttpProxyCacheServer.java, line(s) 28
jaygoo/local/server/NanoHTTPD.java, line(s) 516
org/android/spdy/SpdyRequest.java, line(s) 27,53,72,94,118,137,163,182,204,228

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
jaygoo/local/server/NanoHTTPD.java, line(s) 326,907,994

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
me/zhanghai/android/patternlock/PatternUtils.java, line(s) 65

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/tencent/as/javask.java, line(s) 143,127

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

从应用程序中识别出以下机密确保这些不是机密或私人信息
友盟统计的=> "UMENG_APPKEY" : "5e8452a0895cca59f200033d"
友盟统计的=> "UMENG_CHANNEL" : "_25wan"
百度统计的=> "BaiduMobAd_CHANNEL" : "Baidu Market"
百度统计的=> "BaiduMobAd_STAT_ID" : "04ca89a194"
"library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1"
5e8452a0895cca59f200033d
3a35fece1e5916993e3ae65e6ca69f2f
5dd8f6d33fc19509bd0006ec
5e4240214ca357ff51000019
3d448e5b5f35439a844071a87025cf7f
5e046a8fcb23d2383f0005fc
5e4395560cafb2a69000026d
9A04F079-9840-4286-AB92-E65BE0885F95
A2B55680-6F43-11E0-9A3F-0002A5D5C51B
85951bd067fc5e4d50ac3ff77544ab2b
0000016742C00BDA259000000168CE0F13200000016588840DCE7118A0002FBF1C31C3275D78
5dbbf73d570df38502000bc7
137b3f769527d77388ac54ff61ba9c94
7566f3f23fee364f68bf46fa4b90009b
b4f2fbd3189079b53653247fcb358e62