移动应用安全检测报告:
安全基线评分
安全基线评分 41/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
1
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
5
中危安全漏洞
15
安全提示信息
1
已通过安全项
1
重点安全关注
3
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 47,8
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 69,74,5
高危安全漏洞 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 37,19
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: d5/j.java, line(s) 20,18
中危安全漏洞 基本配置配置为信任系统证书。
Scope: *
中危安全漏洞 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 7.0, [minSdk=24] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: d5/g.java, line(s) 26,25
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/just/agentweb/AgentWebUtils.java, line(s) 298,378 r0/j.java, line(s) 79 w0/g.java, line(s) 7
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: d1/c.java, line(s) 11,259 j2/b.java, line(s) 5,62 k2/d.java, line(s) 7,68 k2/j.java, line(s) 4,22 k2/k.java, line(s) 4,5,108 l2/e.java, line(s) 4,27 l2/h.java, line(s) 4,21 l2/n.java, line(s) 4,5,65 m4/i.java, line(s) 5,38
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/adjust/sdk/Util.java, line(s) 35 d/n0.java, line(s) 19 r5/a.java, line(s) 3 r5/b.java, line(s) 3 r5/c.java, line(s) 4 s5/a.java, line(s) 4
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: x4/b.java, line(s) 57 y1/c.java, line(s) 23 y4/c.java, line(s) 281
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/adjust/sdk/Constants.java, line(s) 23
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/just/agentweb/AgentWebUtils.java, line(s) 581
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyBL91EyWoIFqAV6Y8KXLUOkMeoHY073CXo" "google_crash_reporting_api_key" : "AIzaSyBL91EyWoIFqAV6Y8KXLUOkMeoHY073CXo" 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 7BCFF44099A35BC093BB48C5A6B9A516CDFDA0D1
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a1/c.java, line(s) 79 a1/j0.java, line(s) 82 a1/q.java, line(s) 25,38,85,150,195,214,238 a1/q1.java, line(s) 26 a1/r1.java, line(s) 25,37,44,53 a1/u0.java, line(s) 212,177,211 a1/w1.java, line(s) 69,88,60 a1/x0.java, line(s) 17,28 a2/g.java, line(s) 39 a2/h.java, line(s) 10 a2/t.java, line(s) 40,49,99,209,238 a3/a.java, line(s) 167,1429,1452,1479,1428,1451,181,191,213,225 a4/a.java, line(s) 14 a5/c0.java, line(s) 123,157,166,176,185,105,56 a5/d0.java, line(s) 20,35,19,34 a5/e.java, line(s) 17,22 a5/e0.java, line(s) 49,100,48,94,116,125,142 a5/g.java, line(s) 47,46 a5/g0.java, line(s) 18,17 a5/i0.java, line(s) 33,37,45,54,70,100,122,80,85,104,32,36,44,53,67,99,121 a5/j.java, line(s) 25,97,127,136,118,121,139,145,148,24,96,126 a5/k.java, line(s) 41,45,40,44,25,43 a5/p.java, line(s) 42,22,25,35,41,36 a5/w.java, line(s) 137,147,136,146 a5/x.java, line(s) 28,42 a5/y.java, line(s) 49,45,88,48,64,68 a5/z.java, line(s) 15 b/a.java, line(s) 167,180,206,210,298,312,321,360 b/d.java, line(s) 45 c4/g.java, line(s) 128 c5/c.java, line(s) 220,480,359,473,479 com/adjust/sdk/Logger.java, line(s) 31,22,33,42,44,55,91,102,113,53,89,100,111 com/just/agentweb/AgentWebUtils.java, line(s) 164,132,133,138,155 com/just/agentweb/AgentWebView.java, line(s) 57,86,97,38,220 com/just/agentweb/DefaultChromeClient.java, line(s) 259,265 com/just/agentweb/JsCallJava.java, line(s) 130,63,39,76 com/just/agentweb/JsCallback.java, line(s) 68 com/just/agentweb/LogUtils.java, line(s) 9,25,38,15,33 com/kano/sonna/abusive/FirebaseMsgService.java, line(s) 62,77 d/b0.java, line(s) 88 d/c.java, line(s) 203,509,1055,508,542,581,626,693,753,844,933,1044,1163,1270,1390,279,302,323,357,396,417,425,433,498,502,504,637,1050 d/c0.java, line(s) 20,44,19,43 d/g0.java, line(s) 715,1393,2156,2158,2161,1242,1251,1261,1270,1277,1289,1298,928,1023,1026,1447,1460,2012 d/l.java, line(s) 497,293,302 d/q.java, line(s) 32 d/r.java, line(s) 9 d1/c.java, line(s) 70,71,99,100,211,304 e1/u.java, line(s) 15,14 e4/g.java, line(s) 60 e4/k.java, line(s) 236 f/i.java, line(s) 60,105,119,127 f/j.java, line(s) 167 f1/c.java, line(s) 36 g/i.java, line(s) 422 g/o.java, line(s) 520 h0/d.java, line(s) 403 h1/d.java, line(s) 303 h3/a.java, line(s) 106,112 i3/a.java, line(s) 94,203,273,276,109,117,220 i4/b.java, line(s) 176,178,548,556 i4/e.java, line(s) 17 i4/g.java, line(s) 254,280,59,70,112,166 j0/f.java, line(s) 803,848,894 j1/b.java, line(s) 44,26,65 j2/b.java, line(s) 253,252 j5/f.java, line(s) 1112,1119,1111,1090,1100,1117 k2/d.java, line(s) 95,94 k2/k.java, line(s) 499,500 l3/b.java, line(s) 32 l4/d.java, line(s) 30 l4/h.java, line(s) 58 m0/c.java, line(s) 74,112,121 m0/e.java, line(s) 718 m0/f.java, line(s) 45 m0/g.java, line(s) 130 m0/j.java, line(s) 301,365,372 m0/n.java, line(s) 658,1139,1580,1586,1587,1588,1597,1653,1659,1660,1661,1670,1721,326,780,1224,1231,1513 p/d.java, line(s) 133,121,152 q0/e.java, line(s) 62 q0/f.java, line(s) 41 r2/b.java, line(s) 69,86,68,85,108 r2/c.java, line(s) 49,65,100,48,64,99,61,83,117 r2/d.java, line(s) 9,8 r2/f.java, line(s) 51,50 r2/g.java, line(s) 26,25,32 r2/h.java, line(s) 36,35,47,69,99,123,131,48,70,100,124,132 r2/j.java, line(s) 23,32,20,29 r2/k.java, line(s) 33,32 s0/o.java, line(s) 36,60,64 s2/c.java, line(s) 68,139,144 s2/d.java, line(s) 91,105,157,164,195,203,230 s2/g.java, line(s) 75,74,31 s2/i.java, line(s) 29 s2/k.java, line(s) 45 t0/g.java, line(s) 38,43 t0/h.java, line(s) 34 t0/i.java, line(s) 54 t0/j.java, line(s) 38 t0/k.java, line(s) 48,100 u0/d.java, line(s) 29,32,35,73,119,130 u2/e.java, line(s) 301,534 u2/o.java, line(s) 32 u2/q.java, line(s) 291,347 u2/s.java, line(s) 35 v1/n.java, line(s) 487 v2/b0.java, line(s) 35,40 v2/d0.java, line(s) 26 v2/e.java, line(s) 58 v2/f.java, line(s) 291,163,167,172,181,325 v2/m.java, line(s) 79,82,111,114,117,161,171 v2/p.java, line(s) 15 v2/v.java, line(s) 131,165 v2/w.java, line(s) 44 v2/y.java, line(s) 43 w0/n.java, line(s) 20 w3/b.java, line(s) 268 w4/c.java, line(s) 159,383 x4/b.java, line(s) 50,61 x5/p.java, line(s) 949,1169,1352,1091,157,1007 y1/c.java, line(s) 14,21,43,32,37 y1/d.java, line(s) 9 y1/e.java, line(s) 19 y2/a.java, line(s) 60,70 y4/c.java, line(s) 274,296,80,90,233,255 z2/b.java, line(s) 51,63 z3/d.java, line(s) 87,121
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: y1/e.java, line(s) 15,17
重点安全关注 应用程序可能与位于OFAC制裁国家 (Hong Kong) 的服务器 (fhuang.s3.ap-east-1.amazonaws.com) 通信。
{'ip': '52.95.162.78', 'country_short': 'HK', 'country_long': 'Hong Kong', 'region': 'Hong Kong', 'city': 'Hong Kong', 'latitude': '22.285521', 'longitude': '114.157692'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (app.adjust.cn) 通信。
{'ip': '47.104.30.117', 'country_short': 'CN', 'country_long': 'China', 'region': 'Shandong', 'city': 'Qingdao', 'latitude': '36.098610', 'longitude': '120.371941'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (www.weixin.com) 通信。
{'ip': '183.47.114.111', 'country_short': 'CN', 'country_long': 'China', 'region': 'Guangdong', 'city': 'Huizhou', 'latitude': '23.083330', 'longitude': '114.400002'}