安全分析报告: 蜻蜓点金 v1.0

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 7
信息 1
安全 1
关注 0

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/reactnativecommunity/webview/RNCWebViewManagerImpl.java, line(s) 470,16

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/reactnativecommunity/webview/RNCWebViewModuleImpl.java, line(s) 481,479

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/reactnativecommunity/webview/RNCWebViewModuleImpl.java, line(s) 481

中危 IP地址泄露 

IP地址泄露


Files:
com/RNRSA/CsrHelper.java, line(s) 35,36,37

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
7a5b85d3ee2e0991ca3502602e9389a98f55c0576b887125894a7ec03823f8d3
7p+Ix5TEicecx5bEg2luZGV4x5zHlsSDx5ZlxIk=

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/RNRSA/CsrHelper.java, line(s) 48,51
com/reactnativecommunity/webview/RNCWebView.java, line(s) 354
com/reactnativecommunity/webview/RNCWebViewClient.java, line(s) 98,173,87,103,132,175
com/reactnativecommunity/webview/RNCWebViewManagerImpl.java, line(s) 150,163
com/reactnativecommunity/webview/RNCWebViewModuleImpl.java, line(s) 302,307,331,336,210,238,241,255
com/swmansion/gesturehandler/react/RNGestureHandlerModule.java, line(s) 649
com/swmansion/gesturehandler/react/RNGestureHandlerRootHelper.java, line(s) 44,62
com/swmansion/gesturehandler/react/RNGestureHandlerRootView.java, line(s) 33
com/swmansion/reanimated/NativeMethodsHelper.java, line(s) 44
com/swmansion/reanimated/ReanimatedModule.java, line(s) 104
com/swmansion/reanimated/ReanimatedUIManagerFactory.java, line(s) 20
com/swmansion/reanimated/layoutReanimation/AnimationsManager.java, line(s) 199,213
com/swmansion/reanimated/layoutReanimation/ReanimatedNativeHierarchyManager.java, line(s) 37
com/swmansion/reanimated/layoutReanimation/SharedTransitionManager.java, line(s) 136
com/swmansion/reanimated/nativeProxy/NativeProxyCommon.java, line(s) 167
com/swmansion/reanimated/sensor/ReanimatedSensorContainer.java, line(s) 35
com/swmansion/rnscreens/ScreenStackHeaderConfigViewManager.java, line(s) 214
com/th3rdwave/safeareacontext/SafeAreaView.java, line(s) 113

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( 蜻蜓点金 1.0)