安全分析报告: Indus cards v2.2.2

安全分数


安全分数 51/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 9
信息 1
安全 1
关注 0

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
tech/bogomolov/incomingsmsgateway/WebHookWorkRequest.java, line(s) 20,4

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (tech.bogomolov.incomingsmsgateway.SmsReceiverService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (tech.bogomolov.incomingsmsgateway.BootCompletedReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
c1/a.java, line(s) 4,5,6,7,48

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
o3/a.java, line(s) 3
o3/b.java, line(s) 3
p3/a.java, line(s) 3

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
obfuse5/obfuse/NPStringFog5.java, line(s) 6

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/b.java, line(s) 164,173,214,224
a0/i.java, line(s) 29,95,153
a3/z.java, line(s) 72,82,87,95
app/limits/gateway/FormActivity.java, line(s) 104
app/limits/gateway/FormDataPost.java, line(s) 69,194,195,214,242
app/limits/gateway/MainActivity.java, line(s) 141,171,143
app/limits/gateway/SplashActivity.java, line(s) 29,32,60
app/limits/gateway/WaitActivity.java, line(s) 96
b1/b.java, line(s) 26,30
c1/b.java, line(s) 74,257
d/g.java, line(s) 196
d/j.java, line(s) 480,498,1299,1301,1304,1845,3269,3119,3128,3138,3147,3165,3174,3187,3196,535,2184,2193,2259,2422,2486,2800,2958,2961,1153
d/s.java, line(s) 33,39,45
d/t.java, line(s) 51,65,77
d0/e.java, line(s) 38
e1/a.java, line(s) 59
f0/b.java, line(s) 61
f0/f.java, line(s) 45,56,65
f1/v.java, line(s) 80,89,91,108,121
g1/d.java, line(s) 364,376
g1/k.java, line(s) 1035
g2/a.java, line(s) 206,242
h/f.java, line(s) 141,183,197,205,423
h0/a.java, line(s) 374
h0/a0.java, line(s) 1383,1257,1382,502
h0/b.java, line(s) 59
h0/g.java, line(s) 32,41
h0/h0.java, line(s) 50,65
h0/m.java, line(s) 113,133,183,252,316,340,367
h0/s0.java, line(s) 278,299,84,96,103,112,50,267
i1/h.java, line(s) 23,25,34,36,45,47,56,58
k0/b.java, line(s) 49
l0/c.java, line(s) 77,86
l0/i.java, line(s) 64,73
l0/k.java, line(s) 33,32
m0/b.java, line(s) 49
o0/c.java, line(s) 367
p2/c.java, line(s) 356
q/e.java, line(s) 369
s/b.java, line(s) 277,92,144
s2/d.java, line(s) 140,176
t2/b.java, line(s) 66
tech/bogomolov/incomingsmsgateway/WebHookWorkRequest.java, line(s) 146,167,171,181
w/e.java, line(s) 48
w/f.java, line(s) 77
w/j.java, line(s) 60
w2/f.java, line(s) 478
x/a.java, line(s) 137
x0/f.java, line(s) 79,86,353,452
x0/g.java, line(s) 91
y/f.java, line(s) 179,206,213
y/k.java, line(s) 30
y1/g.java, line(s) 48
z/d.java, line(s) 83,88
z/e.java, line(s) 51
z/f.java, line(s) 74
z/g.java, line(s) 43
z/h.java, line(s) 61,318
z/m.java, line(s) 62,65
z/n.java, line(s) 110
z3/b.java, line(s) 248,225

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Indus cards 2.2.2)