安全分析报告:
安全分数
安全分数 34/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
4
用户/设备跟踪器
调研结果
高危
11
中危
18
信息
1
安全
1
关注
2
高危 Activity (com.huizhou.gjj.huizhougjj.MainActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.huizhou.gjj.huizhougjj.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.huizhou.gjj.huizhougjj.function.hz.activity.LoginActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.huizhou.gjj.huizhougjj.function.hz.activity.LoginActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.huizhou.gjj.huizhougjj.function.hz.activity.TqywActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.huizhou.gjj.huizhougjj.function.hz.activity.TqywActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (cn.jpush.android.service.JNotifyActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/wintone/cipher/AESWithJCE.java, line(s) 20,25
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/huizhou/gjj/huizhougjj/base/WebViewActivity.java, line(s) 267,304,20,21
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: org/xutils/x.java, line(s) 81,6,7,8
高危 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/wintone/cipher/RC4.java, line(s) 11,14,21,23
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (cn.jpush.android.service.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.JNotifyActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.huizhou.gjj.huizhougjj.push.PushService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Broadcast Receiver (com.huizhou.gjj.huizhougjj.push.MyJPushMessageReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/guoxiaoxing/phoenix/core/common/PhoenixConstant.java, line(s) 5,37 com/guoxiaoxing/phoenix/picker/model/PhoenixConstant.java, line(s) 7,46 com/huizhou/gjj/huizhougjj/common/CommonVariable.java, line(s) 8 com/huizhou/gjj/huizhougjj/push/ExampleUtil.java, line(s) 21 com/uuzuche/lib_zxing/decoding/Intents.java, line(s) 45 com/zhy/http/okhttp/builder/PostFormBuilder.java, line(s) 48 org/xutils/common/util/KeyValue.java, line(s) 38
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/huizhou/gjj/huizhougjj/network/AES.java, line(s) 38 com/huizhou/gjj/huizhougjj/network/AESKey.java, line(s) 38 com/jg/ids/e/d.java, line(s) 76 com/wireless/security/securityenv/sdk/DeviceUtils.java, line(s) 45
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/common/busi/CustomView.java, line(s) 123 com/guoxiaoxing/phoenix/picker/util/StringUtils.java, line(s) 92,93 com/huizhou/gjj/huizhougjj/utils/EncryptionByMD5.java, line(s) 11 com/wintone/cipher/MD5.java, line(s) 8,15 net/tsz/afinal/core/FileNameGenerator.java, line(s) 9 org/xutils/common/util/MD5.java, line(s) 38,69
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/guoxiaoxing/phoenix/core/PhoenixOption.java, line(s) 75,352 com/guoxiaoxing/phoenix/picker/ui/camera/CameraActivity.java, line(s) 52 com/guoxiaoxing/phoenix/picker/ui/camera/util/CameraUtils.java, line(s) 65 com/guoxiaoxing/phoenix/picker/util/ImageUtils.java, line(s) 38,92,96 com/guoxiaoxing/phoenix/picker/util/PictureFileUtils.java, line(s) 156,158,308,544,545,591 com/huizhou/gjj/huizhougjj/UpdateManager.java, line(s) 46 com/huizhou/gjj/huizhougjj/base/WebViewActivity.java, line(s) 175,229 com/huizhou/gjj/huizhougjj/utils/FileUtils.java, line(s) 37,153,30,33,149,156,363,366 com/huizhou/gjj/huizhougjj/utils/upgrade/UpdateUtil.java, line(s) 19 net/tsz/afinal/utils/Utils.java, line(s) 38,48 org/xutils/common/util/FileUtil.java, line(s) 19,41,49
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/huizhou/gjj/huizhougjj/base/WebViewActivity.java, line(s) 288,276
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/huizhou/gjj/huizhougjj/utils/TimeUtils.java, line(s) 10 com/zhy/autolayout/widget/MetroLayout.java, line(s) 15 net/tsz/afinal/http/MultipartEntity.java, line(s) 11
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: net/tsz/afinal/FinalDb.java, line(s) 6,7,210 org/xutils/db/DbManagerImpl.java, line(s) 4,5,556
中危 IP地址泄露
IP地址泄露 Files: com/huizhou/gjj/huizhougjj/App.java, line(s) 74
中危 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "appkey" : "C321516081430_ANDROID" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "t8TKngFQQtlUkGyV8X4P5RY8jraieuxv" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" mPjwVstkBCapUvny19fhgA== IlcF4O7D2++PwpWLXZdK1vugLz6x1U4zk0OJ8aSc/OfM9W8CCbh5kYEGTGF6B2+aqlTbx+L76fN5fdf8CGwILmJ7s6Qm6ZXZwgvyJ+Z0ttmXTd1FUynSWJlGHGxell 559bdba1be9f105984694e1f414da957 TAISxiWwpsqUdRqoR71JLHjztw== 5dee058e3fc19571b90001a8 5e1744fcf6856bafae4994def9ad6c46
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/alipay/android/phone/mobilecommon/apsecurity/AlipayApSecurityService.java, line(s) 35,13,18,28 com/alipay/android/phone/mobilecommon/apsecurity/a.java, line(s) 13 com/alipay/android/phone/mobilecommon/apsecurity/b.java, line(s) 14 com/alipay/android/phone/mobilecommon/apsecurity/g.java, line(s) 15 com/alipay/android/phone/mobilecommon/logger/AlipayMonitorLogService.java, line(s) 20,22,25,33 com/alipay/android/phone/mobilecommon/rpc/AlipayRpcService.java, line(s) 21,23 com/alipay/android/phone/mobilecommon/rpc/c.java, line(s) 21 com/alipay/android/phone/mobilecommon/rpc/d.java, line(s) 21,35 com/alipay/biometrics/ui/widget/CircleForegroud.java, line(s) 82 com/alipay/biometrics/ui/widget/CircleFrameLayout.java, line(s) 66 com/alipay/biometrics/ui/widget/ConfirmAlertDialog.java, line(s) 113,120 com/alipay/biometrics/ui/widget/PromptTextView.java, line(s) 58 com/alipay/biometrics/ui/widget/RoundProgressBar.java, line(s) 97,71 com/alipay/biometrics/ui/widget/TitleBar.java, line(s) 223 com/alipay/biometrics/ui/widget/WaveView.java, line(s) 194 com/contrarywind/view/WheelView.java, line(s) 301 com/github/barteksc/pdfviewer/PDFView.java, line(s) 315,546,749,758 com/guoxiaoxing/phoenix/compress/picture/PictureCompressProcessor.java, line(s) 22,49,53,73,79,87 com/guoxiaoxing/phoenix/picker/rx/permission/RxPermissionsFragment.java, line(s) 145,93 com/guoxiaoxing/phoenix/picker/ui/camera/CameraFragment.java, line(s) 584 com/guoxiaoxing/phoenix/picker/ui/camera/lifecycle/impl/Camera1Lifecycle.java, line(s) 150 com/guoxiaoxing/phoenix/picker/ui/camera/lifecycle/impl/Camera2Lifecycle.java, line(s) 153 com/guoxiaoxing/phoenix/picker/ui/camera/manager/impl/BaseCameraManager.java, line(s) 88 com/guoxiaoxing/phoenix/picker/ui/camera/manager/impl/Camera1Manager.java, line(s) 127,418,420,533,302,338,342,346,541,543,545,561 com/guoxiaoxing/phoenix/picker/ui/camera/manager/impl/Camera2Manager.java, line(s) 325,370,632,691,706,183,194,210,312,329,374,496,530,534,538,639,650,678,681 com/guoxiaoxing/phoenix/picker/ui/camera/util/CameraUtils.java, line(s) 68,323 com/guoxiaoxing/phoenix/picker/ui/camera/util/ImageSaver.java, line(s) 53,61,68,74,81,92 com/guoxiaoxing/phoenix/picker/ui/camera/widget/RecordButton.java, line(s) 289,293,297 com/guoxiaoxing/phoenix/picker/util/DebugUtil.java, line(s) 37,44,66,74,97,104,82,89,51,59 com/guoxiaoxing/phoenix/picker/util/ExtensionKt.java, line(s) 21,27,41,55 com/guoxiaoxing/phoenix/picker/util/PictureFileUtils.java, line(s) 267,227,266,466 com/guoxiaoxing/phoenix/picker/widget/LazyFragmentPagerAdapter.java, line(s) 55,64,86 com/h6ah4i/android/widget/advrecyclerview/animator/GeneralItemAnimator.java, line(s) 40,47,54,68,131 com/h6ah4i/android/widget/advrecyclerview/animator/impl/ItemAddAnimationManager.java, line(s) 29,37 com/h6ah4i/android/widget/advrecyclerview/animator/impl/ItemChangeAnimationManager.java, line(s) 23,31 com/h6ah4i/android/widget/advrecyclerview/animator/impl/ItemMoveAnimationManager.java, line(s) 29,37 com/h6ah4i/android/widget/advrecyclerview/animator/impl/ItemRemoveAnimationManager.java, line(s) 29,37 com/h6ah4i/android/widget/advrecyclerview/draggable/DraggableItemWrapperAdapter.java, line(s) 70 com/h6ah4i/android/widget/advrecyclerview/draggable/RecyclerViewDragDropManager.java, line(s) 1334 com/huizhou/gjj/huizhougjj/network/AES.java, line(s) 41,43,104,107,110,113,116,119,130,133,136,139,143,146 com/huizhou/gjj/huizhougjj/network/AESKey.java, line(s) 41,43,93,96,99,102,105,108,119,122,125,128,132,135 com/huizhou/gjj/huizhougjj/network/Base64Decoder.java, line(s) 115 com/huizhou/gjj/huizhougjj/network/Base64Encoder.java, line(s) 91 com/huizhou/gjj/huizhougjj/network/RSAEncrypt.java, line(s) 85,88,91,126,129,132,139,147,150,153,156,166,174,177,180,183,193,202,205 com/huizhou/gjj/huizhougjj/network/RSASignature.java, line(s) 78 com/huizhou/gjj/huizhougjj/utils/EncryptionByMD5.java, line(s) 33 com/huizhou/gjj/huizhougjj/utils/RSAEncrypt.java, line(s) 87,90,93,128,131,134,141,149,152,155,158,168,176,179,182,185,195,204,207 com/huizhou/gjj/huizhougjj/utils/upgrade/UpgradeDialog.java, line(s) 108,114,121 com/lcodecore/tkrefreshlayout/TwinklingRefreshLayout.java, line(s) 174,198,404 com/lcodecore/tkrefreshlayout/processor/AnimProcessor.java, line(s) 460,475 com/mcxtzhang/commonadapter/databinding/viewgroup/SingleBindingAdapter.java, line(s) 35,43 com/mcxtzhang/commonadapter/viewgroup/adapter/cache/BaseCacheAdapter.java, line(s) 22,28 com/shockwave/pdfium/PdfiumCore.java, line(s) 68,199,203,219,223 com/stub/plugin/MyLog.java, line(s) 18,24 com/uuzuche/lib_zxing/activity/CaptureActivity.java, line(s) 50 com/uuzuche/lib_zxing/camera/AutoFocusCallback.java, line(s) 27 com/uuzuche/lib_zxing/camera/CameraConfigurationManager.java, line(s) 32,36,46,51,82,44,106,123,171,182 com/uuzuche/lib_zxing/camera/FlashlightManager.java, line(s) 15,17,58,69,78,81,84 com/uuzuche/lib_zxing/camera/PreviewCallback.java, line(s) 38 com/uuzuche/lib_zxing/decoding/CaptureActivityHandler.java, line(s) 51,56,69,73 com/uuzuche/lib_zxing/decoding/DecodeHandler.java, line(s) 58 com/wintone/cert/MyProcess.java, line(s) 36,38 com/wintone/cipher/AESWithJCE.java, line(s) 15,16,23,24,28,29 com/wintone/cipher/AESWithoutJCE.java, line(s) 70,76,79 com/wintone/cipher/AESofC.java, line(s) 47,53 com/wintone/cipher/Base64.java, line(s) 80 com/wintone/cipher/Base64Line.java, line(s) 103 com/wintone/cipher/MD5.java, line(s) 35,39,40,41,42 com/wintone/cipher/RC4.java, line(s) 31,36,37,38,40 com/wintone/cipher/RSA.java, line(s) 141,144 com/zhy/autolayout/utils/L.java, line(s) 11 com/zhy/http/okhttp/cookie/store/PersistentCookieStore.java, line(s) 142,155,158 com/zhy/http/okhttp/log/LoggerInterceptor.java, line(s) 42,45,46,47,49,52,55,58,60,72,73,74,76,80,82,84,87 com/zhy/http/okhttp/utils/L.java, line(s) 10 net/tsz/afinal/FinalDb.java, line(s) 515,226,164 net/tsz/afinal/bitmap/core/DiskCache.java, line(s) 183,311,358,427,122,125,128,138,141,144,147,150,153,156,161,164,167,170,324,329,335,340,349,355,389,399,408,413 net/tsz/afinal/bitmap/download/SimpleDownloader.java, line(s) 37,82,147 net/tsz/afinal/core/AsyncTask.java, line(s) 62 net/tsz/afinal/exception/ViewException.java, line(s) 15 net/tsz/afinal/utils/Utils.java, line(s) 56 org/xutils/common/util/LogUtil.java, line(s) 26,33,40,47,54,61,68,75,82,89,96,103,110,117
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/huizhou/gjj/huizhougjj/network/RetrofitUtils.java, line(s) 14,14,20 com/zhy/http/okhttp/https/HttpsUtils.java, line(s) 110,173,42,108,108,171,171
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wsbs.hzgjj.cn) 通信。
{'ip': '113.106.187.244', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '惠州', 'latitude': '39.509766', 'longitude': '116.693001'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (img.souche.com) 通信。
{'ip': '150.138.98.238', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '青岛', 'latitude': '36.098610', 'longitude': '120.371941'}