安全分析报告:
安全分数
安全分数 51/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
1
中危
14
信息
2
安全
1
关注
0
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/startapp/fb.java, line(s) 213,8,9 com/startapp/h4.java, line(s) 335,17,18 com/startapp/sdk/ads/banner/bannerstandard/BannerStandard.java, line(s) 840,20 com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 58,4,5 com/startapp/sdk/ads/splash/g.java, line(s) 105,8 com/startapp/sdk/ads/video/VideoMode.java, line(s) 725,14
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.startapp.sdk.adsbase.remoteconfig.BootCompleteListener) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 IP地址泄露
IP地址泄露 Files: com/startapp/c2.java, line(s) 233 com/startapp/kb.java, line(s) 15
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/startapp/o9.java, line(s) 57 com/startapp/sdk/ads/banner/BannerBase.java, line(s) 27 com/startapp/sdk/adsbase/cache/d.java, line(s) 21 com/startapp/sdk/adsbase/cache/g.java, line(s) 32 n3/a.java, line(s) 3 n3/b.java, line(s) 4 o3/a.java, line(s) 4
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/startapp/sdk/ads/video/f.java, line(s) 156
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/startapp/u5.java, line(s) 52
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/startapp/h4.java, line(s) 327,320 com/startapp/sdk/ads/banner/bannerstandard/BannerStandard.java, line(s) 669,239,647 com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 53,49
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/startapp/c2.java, line(s) 121
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/startapp/f6.java, line(s) 6,100 com/startapp/o3.java, line(s) 6,135
中危 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/startapp/a7.java, line(s) 48,48,48,48,48 com/startapp/z6.java, line(s) 5,5,5,5,5,5
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/startapp/sdk/ads/splash/SplashHtml.java, line(s) 50,49
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 com/Vo9wbFH89BbDbWFhUezQZOGPKmfkJSAtIbVWk3QxPbvJwcR8I79EVuI0aB41a 2F73797374656D2F6C69622F6C69627265666572656E63652D72696C2E736F 3A757365722F72656C656173652D6B657973
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/d.java, line(s) 204,209 a0/e.java, line(s) 50 a0/f.java, line(s) 58 a0/g.java, line(s) 45 a0/h.java, line(s) 59,226 a0/l.java, line(s) 81 a1/v.java, line(s) 40,66 b0/a.java, line(s) 59,68,85,95 b0/e.java, line(s) 40,63 b1/b.java, line(s) 269,280 b1/f.java, line(s) 668 b2/d.java, line(s) 125,161 c/a.java, line(s) 38 c2/b.java, line(s) 19 com/startapp/d1.java, line(s) 48 com/startapp/h5.java, line(s) 41,43,51,56,61,66 com/startapp/sdk/ads/splash/SplashConfig.java, line(s) 484,487 com/startapp/sdk/adsbase/StartAppSDKInternal.java, line(s) 490,383 d/h.java, line(s) 172 d/k.java, line(s) 633,1146,1148,1150,674,683,693,702,717,726,739,748,427,1941,1950,2001,2143,2155,2409,2412,1041 d/r.java, line(s) 30,44,56 d/u.java, line(s) 37 d0/c.java, line(s) 23 d1/j.java, line(s) 65 d1/u.java, line(s) 99,103,11,108 e/a.java, line(s) 54 e1/e.java, line(s) 135 e1/i.java, line(s) 46 e2/f.java, line(s) 264 h0/a.java, line(s) 272 h0/b.java, line(s) 49 h0/c0.java, line(s) 133,216,568,580,587,596,50,205 h0/i.java, line(s) 31,44,83,155,198,216,239 h0/v.java, line(s) 1042,983,1041,390 h0/x.java, line(s) 20,31 i/g.java, line(s) 153,188,202,210,370 i1/g.java, line(s) 47 j0/d.java, line(s) 29 k0/c.java, line(s) 25,34 k0/f.java, line(s) 55,64 k0/h.java, line(s) 18,17 l0/b.java, line(s) 35 n0/c.java, line(s) 334 o/d.java, line(s) 321,331 o/e.java, line(s) 402 q/g.java, line(s) 705 r0/a.java, line(s) 38 r0/b.java, line(s) 62,74 s/d.java, line(s) 600,122,512 t/a.java, line(s) 138,141,142,147,151 t/b.java, line(s) 220,115 x/c.java, line(s) 112 x/d.java, line(s) 31 z/g.java, line(s) 138,156,164 z/i.java, line(s) 34 z0/a.java, line(s) 37 z2/c.java, line(s) 20,24
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/example/torrseartool/HomeActivity.java, line(s) 6,807,808 com/startapp/d.java, line(s) 4,59
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/startapp/a7.java, line(s) 86,37,41,103,43,103,103,103,103,103