安全分析报告: cashme v2.0.4

安全分数


安全分数 35/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

6

用户/设备跟踪器


调研结果

高危 12
中危 18
信息 1
安全 2
关注 4

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 Activity (ph.cashme666.android.activity.ActivityH5) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (ph.cashme666.android.activity.Activity_Sign) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (ph.cashme666.android.activity.Activity_TestGPS) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 App 链接 assetlinks.json 文件未找到 

[android:name=ph.cashme666.android.view.activity.HomeActivity][android:host=http://cashvay.page.link]
App Link 资产验证 URL (http://cashvay.page.link/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:301)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。

高危 App 链接 assetlinks.json 文件未找到 

[android:name=ph.cashme666.android.view.activity.HomeActivity][android:host=https://cashvay.page.link]
App Link 资产验证 URL (https://cashvay.page.link/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:200)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。

高危 Activity (ph.cashme666.android.view.activity.LoginAndRegisterActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/oliveapp/camerasdk/a/f.java, line(s) 28

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/oliveapp/camerasdk/a/a.java, line(s) 493

高危 应用程序包含隐私跟踪程序 

此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Activity (ph.cashme666.android.activity.Activity_Sign) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (ph.cashme666.android.activity.Activity_TestGPS) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (ph.cashme666.android.service.MyFirebaseMessagingService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Activity (ph.cashme666.android.view.activity.HomeActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (ph.cashme666.android.camera.CameraActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.facebook.CustomTabActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Content Provider (com.facebook.FacebookContentProvider) 未被保护。 

[android:exported=true]
发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/oliveapp/camerasdk/utils/h.java, line(s) 11,25
com/oliveapp/libcommon/utility/FileUtil.java, line(s) 22

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
ph/cashme666/android/view/activity/WebActivity.java, line(s) 142,141
sc/top/core/base/utils/b.java, line(s) 304,302

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
bw/jf/devicelib/beans/JsBeans.java, line(s) 8,11,14,17
com/oliveapp/camerasdk/data/ShowChoices.java, line(s) 145
ph/cashme666/android/base/j.java, line(s) 84,97,107,117
ph/cashme666/android/beans/JsBeans.java, line(s) 8,11,14,17
ph/cashme666/android/model/bean/EventBean.java, line(s) 9,12,15,18,21,24
ph/cashme666/android/widget/SideBar.java, line(s) 32,120,128

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
ph/cashme666/android/dialog/AIUtil.java, line(s) 16
ph/cashme666/android/dialog/AIUtil2.java, line(s) 15

中危 IP地址泄露 

IP地址泄露


Files:
com/lahm/library/e.java, line(s) 18

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
vbvousd/olsjdof/fixcodesxcvds/a/a/a/a.java, line(s) 4,56

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
凭证信息=> "com.zing.zalo.zalosdk.appID" : "@string/zalo_appID"
"account_kit_client_token" : "0968164ae74d3dd3877cd44c39c4941f"
"firebase_database_url" : "https://cashme-33fb2.firebaseio.com"
"google_api_key" : "AIzaSyDiMulP58sNB-v8vHnJM4R4SVW7A9HGNd4"
"google_crash_reporting_api_key" : "AIzaSyDiMulP58sNB-v8vHnJM4R4SVW7A9HGNd4"
5e8f16062ea3cd2c4a0d547876baa6f38cabf625
cc2751449a350f668590264ed76692694a80308a
8a3c4b262d721acd49a4bf97d5213199c86fa2b9
9b8f518b086098de3d77736f9458a3d2f6f95a37
a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc
df6b721c8b4d3b6eb44c861d4415007e5a35fc95
2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/jzvd/JZTextureView.java, line(s) 27,54,55
cn/jzvd/Jzvd.java, line(s) 87,98,182,212,234,438,142,203,392,400,406,419,430,469,478,488,499,507,523,541,547,589,595,612,618,681,686
cn/jzvd/JzvdStd.java, line(s) 733
com/contrarywind/view/WheelView.java, line(s) 400
com/oliveapp/camerasdk/a/b.java, line(s) 98
com/oliveapp/camerasdk/a/i.java, line(s) 51,61,19,22,56
com/oliveapp/libcommon/utility/LogUtil.java, line(s) 29,37,146,73,75,101,109,138
d/e/a/a.java, line(s) 159,164,171,175,191,201
e/a/a/a/a.java, line(s) 7,13,8,14
e/c/a/a/d.java, line(s) 36,46,52
e/d/a/c/a/a/a.java, line(s) 236,268
e/d/a/c/a/a/b.java, line(s) 39,54,64,75
e/d/a/c/a/a/c.java, line(s) 16,28,40,49
e/d/a/c/c/g/k.java, line(s) 67
e/e/a/c.java, line(s) 31,41
me/yokeyword/fragmentation/exception/AfterSaveStateTransactionWarning.java, line(s) 8
me/yokeyword/fragmentation/h.java, line(s) 128
ph/cashme666/android/beans/DeviceInfos.java, line(s) 125,128
ph/cashme666/android/network/e.java, line(s) 77,80,94
ph/cashme666/android/network/l.java, line(s) 39,56,77
ph/cashme666/android/utils/f.java, line(s) 34
ph/cashme666/android/utils/h.java, line(s) 25
ph/cashme666/android/utils/s.java, line(s) 163,171
ph/cashme666/android/utils/t.java, line(s) 13,20
ph/cashme666/android/utils/u.java, line(s) 13,20,27
ph/cashme666/android/view/activity/WebActivity.java, line(s) 188,190
ph/cashme666/android/view/fragment/loanstatusfragment/LoanApplyingFragment.java, line(s) 556,569
ph/cashme666/android/widget/CustomPopWindow.java, line(s) 112,114,120
ph/cashme666/android/widget/pagefling/DefinedScrollView.java, line(s) 351,355,359,362,363,367,396
sc/top/core/base/BaseApplication.java, line(s) 100,88
sc/top/core/base/f.java, line(s) 137,113,116,131,139,162,170,146
sc/top/core/base/network_rf/network/g.java, line(s) 77,80,94
sc/top/core/base/network_rf/network/m.java, line(s) 39,54,77
sc/top/core/base/utils/i.java, line(s) 181,189
sc/top/core/base/utils/j.java, line(s) 13,20
top/zibin/luban/a.java, line(s) 57,71,99,107,111
top/zibin/luban/f.java, line(s) 190,189
vbvousd/olsjdof/fixcodesxcvds/a/a/a/a.java, line(s) 25,42,44,49,54,58
vbvousd/olsjdof/fixcodesxcvds/accountbook/accountbook/com/zdlist.java, line(s) 54,334,335
vbvousd/olsjdof/fixcodesxcvds/accountbook/view/pulldown/PullDoorView.java, line(s) 64,92,98,103
vbvousd/olsjdof/fixcodesxcvds/tuodong/DragListActivity.java, line(s) 78
vbvousd/olsjdof/fixcodesxcvds/tuodong/DragListView.java, line(s) 89

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/lahm/library/f.java, line(s) 21,21,21,21,21

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
ph/cashme666/android/network/d.java, line(s) 148,97,146,146
ph/cashme666/android/network/h.java, line(s) 66,66,92
sc/top/core/base/network_rf/network/f.java, line(s) 151,100,149,149
sc/top/core/base/network_rf/network/j.java, line(s) 57,57

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (firebase-settings.crashlytics.com) 通信。 

{'ip': '180.163.150.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.150.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.150.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (update.crashlytics.com) 通信。 

{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( cashme 2.0.4)