应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
蓝莓视频 v1.4.1
48
安全评分
安全基线评分
48/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
16
中危
1
信息
1
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
16
安全提示信息
1
已通过安全项
1
重点安全关注
10
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: o000OoOO/o0O0ooO.java, line(s) 21,75
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/github/lzyzsd/jsbridge/BridgeWebView.java, line(s) 116,8
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.southcn.wnofww.MainActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.qiniu.android.dns.NetworkReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: OooOO0/OooO0O0.java, line(s) 8,9,10,11,67,77 o00000O/dddb.java, line(s) 6,7,53
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 13 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 21 com/shinebutton/ShineView.java, line(s) 13 com/southcn/wnofww/ui/activity/SearchActivity.java, line(s) 46 com/southcn/wnofww/ui/activity/SearchResultActivity.java, line(s) 30 com/southcn/wnofww/view/LikeLayout.java, line(s) 15 o00/dddb.java, line(s) 8 o000OoOO/o000O0O0.java, line(s) 7 o00OoOO0/o00O000.java, line(s) 6 o00Ooo00/asda.java, line(s) 12 org/jsoup/helper/DataUtil.java, line(s) 17
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/southcn/wnofww/utils/FileImageUtilKt.java, line(s) 136 o000000o/OooOo00.java, line(s) 10,21 o000O0oo/o00Oo0.java, line(s) 8 o000OoOO/o00O000.java, line(s) 9,22 o000Ooo0/OooO0O0.java, line(s) 22,44,85,85,133,133 o00O0OO/OooO00o.java, line(s) 90
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/southcn/wnofww/ui/loading/LoadingViewModel$startGetDns$1.java, line(s) 45 com/southcn/wnofww/ui/loading/LoadingViewModel$startGetDns26$1.java, line(s) 44 o000000o/asda.java, line(s) 286,353,357,363 o00O00OO/mlgnksad2.java, line(s) 195
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/azhon/appupdate/util/FileUtil.java, line(s) 43 o000000o/OooOOO0.java, line(s) 50 o000OoOO/o00O00O.java, line(s) 37
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/southcn/wnofww/common/PublicConstants.java, line(s) 16 com/southcn/wnofww/common/cache/CacheKey.java, line(s) 13,22 com/southcn/wnofww/main/AppKt.java, line(s) 10 org/jsoup/helper/W3CDom.java, line(s) 34 org/jsoup/nodes/DocumentType.java, line(s) 12,13,15
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/southcn/wnofww/utils/mlgnksad2.java, line(s) 14 o000OoOO/o0O0ooO.java, line(s) 63 org/repackage/a/a/a/a/c.java, line(s) 61
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_APPKEY" : "646dd1b3e31d6071ec411985" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 646dd1b3e31d6071ec411985 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: OooO0o/mlgnksad.java, line(s) 111 Oooo0oO/OooO0O0.java, line(s) 331 com/scwang/smartrefresh/layout/SmartRefreshLayout.java, line(s) 1250,1358 com/southcn/wnofww/utils/AttackBackgroundService.java, line(s) 103,303 com/southcn/wnofww/utils/AttackWorker.java, line(s) 236,291 me/jessyan/autosize/AutoSize.java, line(s) 108 me/jessyan/autosize/AutoSizeConfig.java, line(s) 333,346,359,251 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 o000OoOO/o00O00.java, line(s) 66,167,169,205,211 o000Ooo0/OooO0O0.java, line(s) 32 o00O0OO/OooO0O0.java, line(s) 130,133,171,183,193,221,239,241,259,264,271,277,294,297 o00O0OOO/mlgnksad2.java, line(s) 322 o00OoO0o/OooO0OO.java, line(s) 139 o00Ooo/OooO00o.java, line(s) 89 o0oOO/mlgnksad2.java, line(s) 20
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/southcn/wnofww/api/ApiClient.java, line(s) 72,76,101,72,76,101 o000000o/OooO00o.java, line(s) 74,71,76
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (miao.wondershare.cn) 通信。
{'ip': '1.12.12.21', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lanmei.cc) 通信。
{'ip': '61.147.168.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (kuai.360.cn) 通信。
{'ip': '180.97.234.207', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.capcut.cn) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.ergew.com) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.huishenghuiying.com.cn) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (doh.pub) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (塞浦路斯) 的服务器 (dns.adguard.com) 通信。
{'ip': '94.140.14.14', 'country_short': 'CY', 'country_long': '塞浦路斯', 'region': 'Lemesos', 'city': '利马索尔', 'latitude': '34.674976', 'longitude': '33.033245'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bcut.bilibili.cn) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.ijianji.com) 通信。
{'ip': '47.115.44.41', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
综合安全基线评分总结
蓝莓视频 v1.4.1
Android APK
48
综合安全评分
中风险