安全分析报告: Asian Roulette Entertainment v1.3

安全分数


安全分数 37/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 8
中危 11
信息 1
安全 2
关注 0

高危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
org/wlf/filedownloader/file_download/HttpConnectionHelper.java, line(s) 61,14,15,16,17,18,19

高危 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/asian/roulette/BuildConfig.java, line(s) 3,4
com/example/ayqctask/BuildConfig.java, line(s) 3,6

高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同 

默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/amazon/android/g/a.java, line(s) 66,106

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/example/ayqctask/jiami/JiaMi.java, line(s) 17,32

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/example/ayqctask/jiami/JiaMi.java, line(s) 17,32

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/kaiguanjs/ui/WebViewActivity.java, line(s) 170,168

高危 WebView域控制不严格漏洞 

WebView域控制不严格漏洞


Files:
com/kaiguanjs/ui/WebViewActivity.java, line(s) 89,72,74,75,76,77,78,79,80,81,82,83,84,92,95,97,105,130

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (roulette.amaz.game.Wallpaper) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_WALLPAPER [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (roulette.amaz.game.Widget) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (roulette.amaz.game.BootReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/amazon/android/c/b.java, line(s) 141
com/amazon/android/g/a.java, line(s) 79,82,90,93,97
com/amazon/android/m/a.java, line(s) 19

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/amazon/android/c/a.java, line(s) 19
com/amazon/android/f/c.java, line(s) 11
com/amazon/android/framework/prompt/Prompt.java, line(s) 8
org/cocos2d/actions/tile/CCShuffleTiles.java, line(s) 3
org/cocos2d/actions/tile/CCTurnOffTiles.java, line(s) 3
org/cocos2d/utils/javolution/MathLib.java, line(s) 5
roulette/amaz/game/GetJson.java, line(s) 12
roulette/amaz/game/MainActivity2.java, line(s) 22
roulette/amaz/game/scene/GameScene.java, line(s) 8

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/amazon/mas/kiwi/util/KiwiVersionEncrypter.java, line(s) 11
com/example/ayqctask/task/KaiGuanTask.java, line(s) 32
org/cocos2d/utils/PlistParser.java, line(s) 29

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/applovin/impl/sdk/x.java, line(s) 357
com/kaiguanjs/ui/WebViewActivity.java, line(s) 254
org/wlf/filedownloader/FileDownloadConfiguration.java, line(s) 29
org/wlf/filedownloader/util/FileUtil.java, line(s) 43,50

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
org/wlf/filedownloader/file_download/db_recorder/DownloadFileDao.java, line(s) 3,4,18

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/amazon/android/framework/util/KiwiLogger.java, line(s) 48,54,30,36,42
com/amazon/mas/kiwi/util/KiwiVersionEncrypter.java, line(s) 110,114
com/applovin/adview/AppLovinAdView.java, line(s) 39,87
com/applovin/adview/AppLovinIncentivizedInterstitial.java, line(s) 50
com/applovin/adview/AppLovinInterstitialActivity.java, line(s) 483,511,514
com/applovin/impl/adview/AdViewControllerImpl.java, line(s) 108,111,114,117,120,213,244,303
com/applovin/impl/adview/q.java, line(s) 15
com/applovin/impl/sdk/AppLovinSdkImpl.java, line(s) 165,169,172,189
com/applovin/impl/sdk/NativeAdImpl.java, line(s) 184
com/applovin/impl/sdk/cr.java, line(s) 32
com/applovin/impl/sdk/k.java, line(s) 28,43,67,53,81
com/applovin/sdk/AppLovinSdk.java, line(s) 42,65
com/applovin/sdk/AppLovinSdkUtils.java, line(s) 51
com/kaiguanjs/ui/LeadActivityForYqsdk.java, line(s) 24
com/kongyu/project/ApkeditorPlug.java, line(s) 132,136,268,263
org/cocos2d/actions/CCActionManager.java, line(s) 131
org/cocos2d/config/ccMacros.java, line(s) 18,26,22
org/cocos2d/layers/CCLayer.java, line(s) 108
org/cocos2d/layers/CCTMXMapInfo.java, line(s) 72
org/cocos2d/nodes/CCDirector.java, line(s) 163
org/cocos2d/nodes/CCNode.java, line(s) 120,337
org/cocos2d/nodes/CCTileMapAtlas.java, line(s) 101
org/cocos2d/opengl/GLDebugWrapper.java, line(s) 29,35,41,47,53,59,65,71,77,83,89,95,101,107,113,119,125,131,137,143,149,155,161,167,173,179,185,191,197,203,209,215,221,227,233,239,245,251,257,263,269,275,281,287,293,299,305,312,318,324,331,337,343,349,355,361,367,373,379,385,391,397,403,409,415,421,427,433,439,445,451,457,463,469,475,481,487,493,499,505,511,517,523,529,535,541,547,553,559,565,571,577,583,589,595,601,607,613,619,625,631,637,643,649,655,661,667,673,679,685,691,697,703,709,715,721,727,733,739,745,751,757,763
org/wlf/filedownloader/DownloadCacher.java, line(s) 79,84,95,99,426
org/wlf/filedownloader/DownloadConfiguration.java, line(s) 327,378,254,260,269,275,290
org/wlf/filedownloader/DownloadFileChangeObserver.java, line(s) 25,40,60,77,93
org/wlf/filedownloader/FileDownloadConfiguration.java, line(s) 42,45,47,50,63,35,72
org/wlf/filedownloader/FileDownloadManager.java, line(s) 55
org/wlf/filedownloader/base/BaseDownloadConfigBuilder.java, line(s) 20,33
org/wlf/filedownloader/base/Log.java, line(s) 26,33,75,82,40,47,12,19,54,61,68
org/wlf/filedownloader/file_delete/DeleteDownloadFileTask.java, line(s) 43,46,48,56,59,61,75,78,80,83,96,99,102,104,110,113,115,121,124,126,131,134,136
org/wlf/filedownloader/file_delete/DeleteDownloadFilesTask.java, line(s) 81,85,89,93,95,105,109,127,133,139,173,189,200,209,218
org/wlf/filedownloader/file_delete/DownloadDeleteManager.java, line(s) 42,45,49,56
org/wlf/filedownloader/file_download/DetectUrlFileTask.java, line(s) 109,140,151,183,233,268,299,329,349,365,389,395,404,413,186
org/wlf/filedownloader/file_download/DownloadStatusObserver.java, line(s) 28,43,53,60,67,73,79,85,91,98
org/wlf/filedownloader/file_download/DownloadTaskImpl.java, line(s) 66,219,258,261,296,332,368,410,444,472,491,503,513,516,736,747,753,672,722,526,541,556,594,623,630,637,644,658,684,701,714
org/wlf/filedownloader/file_download/DownloadTaskManager.java, line(s) 158,200,204,213,406,409,424,430,192
org/wlf/filedownloader/file_download/HttpConnectionHelper.java, line(s) 77,96,101
org/wlf/filedownloader/file_download/RetryableDownloadTaskImpl.java, line(s) 287,304,326,341,344,362,388,399,414,428,439,445,215,265,120,137,166,173,180,187,201,227,244,257
org/wlf/filedownloader/file_download/db_recorder/DownloadFileDao.java, line(s) 23
org/wlf/filedownloader/file_download/file_saver/FileSaver.java, line(s) 79,101,111,124,137,149,169,184,198,220,253,229,237,247
org/wlf/filedownloader/file_download/http_downloader/HttpDownloader.java, line(s) 92,106,125,156,164,172,190,99
org/wlf/filedownloader/file_move/DownloadMoveManager.java, line(s) 42,45,49,56
org/wlf/filedownloader/file_move/MoveDownloadFileTask.java, line(s) 46,49,51,59,62,64,78,81,83,90,93,95,113,116,118,125,128,130,146,149,151,157,160,162,167,170,172
org/wlf/filedownloader/file_move/MoveDownloadFilesTask.java, line(s) 87,91,95,99,101,111,115,133,139,145,179,195,206,215,225
org/wlf/filedownloader/file_rename/DownloadRenameManager.java, line(s) 38,41,45,52
org/wlf/filedownloader/file_rename/RenameDownloadFileTask.java, line(s) 48,51,53,61,64,66,83,86,88,95,98,100,114,117,119,149,152,154,161,164,166,173,181,184,186,195,198,200
org/wlf/filedownloader/util/UrlUtil.java, line(s) 214,240,241,251,252,253,254,255,256,257,258,259,281
roulette/amaz/game/AnimationThread.java, line(s) 94,101,109,36,42,54,64,70,79
roulette/amaz/game/Wallpaper.java, line(s) 13,19,39,47,56,67

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/example/ayqctask/task/NetUtils.java, line(s) 35
com/kongyu/project/ApkeditorPlug.java, line(s) 202,230

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/amazon/android/m/b.java, line(s) 39,37,36,36

安全评分: ( Asian Roulette Entertainment 1.3)