安全分析报告: 53快服 v3.3.26

安全分数


安全分数 50/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 0
中危 21
信息 1
安全 0
关注 6

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (com.example.a53kf.android53.push.MIPushReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.example.a53kf.android53.push.VivoPushReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.push.permission.UPSTAGESERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.example.a53kf.android53.push.MZPushReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(io.github.v7lin.wechat_kit.WechatCallbackActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (io.github.v7lin.wechat_kit.WechatCallbackActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.example.a53kf.android53.wxapi.WXEntryActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity-Alias (com.example.a53kf.android53.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.example.a53kf.android53.wxapi.WXPayEntryActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity-Alias (com.example.a53kf.android53.wxapi.WXPayEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (androidx.media.session.MediaButtonReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.dooboolab.TauEngine.FlautoBackgroundAudioService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未被保护。 

[android:exported=true]
发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
荣耀推送的=> "com.hihonor.push.app_id" : "104428945"
vivo推送的=> "com.vivo.push.app_id" : "16691"
vivo推送的=> "com.vivo.push.api_key" : "ad68a1f8-6edc-4102-9c4f-84b0fa9094fa"
凭证信息=> "com.hihonor.mcs.client.appid" : "104428945"
vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=100644275"
"library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/"
"library_zxingandroidembedded_author" : "JourneyApps"
MwQXJhs7Dl01BCJEMjcAOxwaIA0GAgExFTY=
OGs/VyMJJxUHMhgrHlciBDYZGSFRKREcIzUhCDIqFCkVGTI=
MyQrPAobLm8dITlqLTsMHj5vKAoAajd2Uw==
ARcvHgsjVjIdTiQEIxMaIlYiGxwiFTIdHD5W
TTpgenEbZiM9NkclJjZxG2c8Ow==
MxwdNyY7FlckOSJcOCY9OwQQMTAGGgsgKDY=
NCw+MQo7YyE+ECQoP2k1HR8nKRc5IDc=
ATwzDiIANC4lOhYKPjs+Fzw4OCsBHDMoKxUtIiQgFg==
Ix8kORw9KDY5ECYDGyQbIgclND05FDIuDT8UPigK
JzAuECMofzEfOTc0L0gOJikSBz4rHSsVPmcULgMnJj82
JSMVADQgIS8aGCkgCQYsCCgeTgAiPhMEJSM/EhExbD0KFSEqIhQZ
PmwachQPIDAiBR4sO3IVAjE8PBZXLjQ5FDMmLRcdEi4wPAU=
Lx4dFQEnFFcGHj5eOAQaJwYQExcaGAsCDyo=
MBgYHhg1GiIENDwbBBgAHRMTUDo1FxgZNTYXDw8LeR8YShcsGgc=
MG0EajwBIS46LRAtJWo9DDAiJD5ZLyohPD0nMw81HC8uJC0=
OzcCBjwzPUgVIyp3JxcnMy8PACoOMRQRMj4=
Lw8CGjkkIh8RPSAcDyMuNQYzHyosCxgHPA==
MwM2FSo2AQwPBj8AKhMyHgg9Wx40HjAROzUfMQQveh0pAD88AjcM
MScESSs9KgALI3wpGRcvNjtHDjU9JAgTIzY=
PAcXAD49DworJisxGjUiKgccNjc8JxcmNygWBio8Kw==
Mz08PRQyNSEWDCQLMQgIJT03Cx0zHTwbHScsLRcWJA==
EzwxKwQbNns4GwJ8FDofGyQ8LRImOic8ChY=
HA80PygZDQ4lBBAMKDkwMQQ/cQoZADQ4BRoAIy47VQg0aycADSs=
By8gFAsPJWoHFBZvBQUQDzctEh0yKTYDBQJlFAcHDSAjAy0IJys=

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
org/pjsip/PjCamera.java, line(s) 104,108,112,141,146,159,153,166,168
org/pjsip/PjCamera2.java, line(s) 82,90,95,136,150,165,191,200,220,222,231,69,160,173,51,58,63,73
org/pjsip/PjCameraInfo.java, line(s) 70
org/pjsip/PjCameraInfo2.java, line(s) 110,123,137,147,45,162,166,54,98,132,100,112,124,139
org/pjsip/pjsua2/pjsua2JNI.java, line(s) 5324,5330,5325

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aomedia.org) 通信。 

{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-push.in.meizu.com) 通信。 

{'ip': '220.181.106.150', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。 

{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。 

{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': 'ofddorp\tHoogeveen\tHoogezand\x08Hoogland\x08Hooglede\x0bHoogstraten\x04Hook\x06Hooker\x05Hooks\x08Hooksett\x05Hoopa\x06Hooper\tHoopeston\x08Hoo', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。 

{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dashif.org) 通信。 

{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

安全评分: ( 53快服 3.3.26)