安全分析报告:
安全分数
安全分数 39/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
4
中危
15
信息
1
安全
0
关注
15
高危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: b/h/a/a/h/i.java, line(s) 12
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/diagnosis/tackiness/activity/FullGameActivity.java, line(s) 41,39
高危 Malicious domain found - da.anythinktech.com
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.diagnosis.tackiness.pangolin.service.MammonReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.anythink.china.common.NotificationBroadcaseReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$RequestInstallPermissionActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: b/g/a/r0/h.java, line(s) 295 b/h/a/a/h/f.java, line(s) 12 c/a/d/d.java, line(s) 289 com/kwai/filedownloader/e/f.java, line(s) 243 com/kwai/sodler/lib/d/b.java, line(s) 21 d/a/a/b/c.java, line(s) 16,23
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/diagnosis/tackiness/activity/FullGameActivity.java, line(s) 107,99 com/diagnosis/tackiness/h5/H5WebView.java, line(s) 18,33
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b/d/a/i/a.java, line(s) 161 b/d/a/k/c/h.java, line(s) 63,67,68 b/g/a/r0/h.java, line(s) 580,580
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/diagnosis/tackiness/activity/FullGameActivity.java, line(s) 132,99
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: b/g/a/i0/d.java, line(s) 5,115 b/g/a/i0/e.java, line(s) 5,6,19 com/kwai/filedownloader/a/d.java, line(s) 5,6,7,154 com/kwai/filedownloader/a/e.java, line(s) 4,5,14
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 77 f/a/a/a/a/a.java, line(s) 174
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: b/b/a/o/e.java, line(s) 90 b/b/a/o/k/c.java, line(s) 42 b/b/a/o/k/n.java, line(s) 95 b/b/a/o/k/u.java, line(s) 80
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b/h/a/a/g/a.java, line(s) 8
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/kwai/sodler/lib/c.java, line(s) 169
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "anythink_myoffer_feedback_violation_of_laws" : "Illegal" "dyStrategy.privateAddress" : "privateAddress" 60b981e1799cce47f934505d b496f2beb340c9b0065ce3f825109f1c
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: b/b/a/m/a.java, line(s) 484 b/b/a/n/e.java, line(s) 95,126,94,125 b/b/a/n/g.java, line(s) 545,561,575,544,560,574,730,739 b/b/a/o/j/b.java, line(s) 48,47 b/b/a/o/j/j.java, line(s) 52,148,51,147,151,157,164,161,165 b/b/a/o/j/l.java, line(s) 49,48 b/b/a/o/j/o/c.java, line(s) 115,114 b/b/a/o/j/o/e.java, line(s) 85,84 b/b/a/o/k/a0/a.java, line(s) 88,87 b/b/a/o/k/g.java, line(s) 59,60 b/b/a/o/k/i.java, line(s) 36,209 b/b/a/o/k/w.java, line(s) 34,35 b/b/a/o/k/x/j.java, line(s) 119,159,120,160 b/b/a/o/k/x/k.java, line(s) 138,181,192,204,99,137,147,170,180,191,203,226,233,105,148,227,234,171 b/b/a/o/k/y/e.java, line(s) 66,72,101,111,124,136,67,102,73,114,125,137 b/b/a/o/k/y/l.java, line(s) 182,166 b/b/a/o/k/z/a.java, line(s) 96,93 b/b/a/o/k/z/b.java, line(s) 45,44 b/b/a/o/l/c.java, line(s) 20,19 b/b/a/o/l/d.java, line(s) 44,43 b/b/a/o/l/f.java, line(s) 104,103 b/b/a/o/l/s.java, line(s) 106,109 b/b/a/o/l/t.java, line(s) 40,39 b/b/a/o/m/c/b0.java, line(s) 136,133 b/b/a/o/m/c/e.java, line(s) 74,73,90,91 b/b/a/o/m/c/m.java, line(s) 200,207,287,297,309,321,339,343,348,357,360,365,376,384,199,206,286,296,308,320,338,342,347,356,359,364,375,383 b/b/a/o/m/c/n.java, line(s) 89,112,287,88,111,191,233,249,286,192,234,363 b/b/a/o/m/c/o.java, line(s) 46,52,47,53 b/b/a/o/m/c/s.java, line(s) 49,50 b/b/a/o/m/c/y.java, line(s) 300,118,123,167,176,183,297,119,124,168,177,184,185,186,190 b/b/a/o/m/g/a.java, line(s) 82,87,92,101,83,88,93,102 b/b/a/o/m/g/d.java, line(s) 26,27 b/b/a/o/m/g/j.java, line(s) 43,46 b/b/a/p/e.java, line(s) 33,32,55,74,56,75 b/b/a/p/f.java, line(s) 20,19 b/b/a/p/k.java, line(s) 255,256,264 b/b/a/p/m.java, line(s) 113,114 b/b/a/p/n.java, line(s) 154,155 b/b/a/q/e.java, line(s) 54,61,72,77,53,60,65,71,76,66 b/b/a/s/k/f.java, line(s) 80,121,122,81 b/b/a/s/k/r.java, line(s) 78,119,120,79 b/b/a/t/a.java, line(s) 25 b/b/a/u/c.java, line(s) 47,46 b/b/a/u/o/a.java, line(s) 61,62 b/d/a/k/c/h.java, line(s) 281,286 b/e/a/a/b/h.java, line(s) 69 b/e/a/a/r/d.java, line(s) 29,39 b/e/a/a/u/d.java, line(s) 162,194 c/a/d/a.java, line(s) 48 com/anythink/banner/api/ATBannerView.java, line(s) 315,329,336,468 com/anythink/interstitial/a/a.java, line(s) 69,390,450 com/anythink/interstitial/a/b.java, line(s) 81,155,160,165 com/anythink/interstitial/api/ATInterstitial.java, line(s) 203,208,219 com/kwai/sodler/lib/a.java, line(s) 7,11,15,19 com/kwai/sodler/lib/e.java, line(s) 60,66 com/kwai/sodler/lib/kwai/b/a.java, line(s) 165 com/kwai/sodler/lib/kwai/kwai/b.java, line(s) 26,49 d/a/a/b/b.java, line(s) 24,53,30,64,36,42,57,49,59,75 f/a/b/b/a/b.java, line(s) 33,53 f/a/b/c/a/b.java, line(s) 52 f/a/b/c/a/c.java, line(s) 167,65,179,187 f/a/b/c/a/d.java, line(s) 29 g/q/e/e.java, line(s) 61 g/q/e/j.java, line(s) 23 g/t/c.java, line(s) 231
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (da.anythinktech.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (adx.anythinktech.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.anythinktech.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mores.toponad.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p1-lm.adkwai.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (qq.ahaozhuan.com) 通信。
{'ip': '47.107.40.90', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.samsung.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdn-adn-https.rayjump.com) 通信。
{'ip': '114.230.204.68', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toponad.com) 通信。
{'ip': '42.192.176.82', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'scsaba\x10Bekesszentandras\x08Bekhtery\x0bBekhteyevka\x07Bekilli\nBekkevoort\x06Bekovo\x08Bektemir\x06Bekwai\x07Bel Air\tBel Om', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '222.186.18.238', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aa.birdgesdk.com) 通信。
{'ip': '120.78.94.142', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pitk.birdgesdk.com) 通信。
{'ip': '39.108.103.199', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tk.anythinktech.com) 通信。
{'ip': '112.74.188.11', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.e.kuaishou.com) 通信。
{'ip': '112.74.188.11', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}