安全分析报告:
安全分数
安全分数 50/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
1
中危
22
信息
2
安全
1
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
中危 基本配置配置为信任系统证书。
Scope: *
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.ksxkq.autoclick.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.ksxkq.autoclick.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.ksxkq.autoclick.shortcut.ActivityShortcut) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.ksxkq.autoclick.shortcut.ActivityRunShortcut) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.ksxkq.autoclick.service.AutoClickAccessibilityService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.ksxkq.autoclick.service.AutoClickWallpaperService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_WALLPAPER [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.ksxkq.autoclick.service.AutoClickNotificationService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.ksxkq.autoclick.receiver.RebootReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (2147483647) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 IP地址泄露
IP地址泄露 Files: com/afollestad/materialdialogs/BuildConfig.java, line(s) 9 com/lahm/library/EmulatorCheckUtil.java, line(s) 24 com/lahm/library/SecurityCheckUtil.java, line(s) 119 com/lahm/library/VirtualApkCheckUtil.java, line(s) 47,193
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/microsoft/appcenter/AppCenter.java, line(s) 43,51 com/microsoft/appcenter/Constants.java, line(s) 8 com/microsoft/appcenter/channel/DefaultChannel.java, line(s) 422 com/microsoft/appcenter/crashes/utils/ErrorLogHelper.java, line(s) 39,51 com/microsoft/appcenter/http/DefaultHttpClient.java, line(s) 16,18 com/microsoft/appcenter/ingestion/OneCollectorIngestion.java, line(s) 26,28,33 com/microsoft/appcenter/ingestion/models/WrapperSdk.java, line(s) 9 com/microsoft/appcenter/ingestion/models/one/CommonSchemaLog.java, line(s) 15 com/microsoft/appcenter/persistence/DatabasePersistence.java, line(s) 33 com/microsoft/appcenter/utils/context/SessionContext.java, line(s) 14 com/microsoft/appcenter/utils/storage/DatabaseManager.java, line(s) 16
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/kwai/sodler/lib/c.java, line(s) 166
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/ksxkq/autoclick/db/DBManager.java, line(s) 5,578 com/kwai/filedownloader/a/d.java, line(s) 5,6,7,153,423,471 com/kwai/filedownloader/a/e.java, line(s) 4,5,14,15,33,34,37,38 com/microsoft/appcenter/persistence/DatabasePersistence.java, line(s) 6,7,64,69,70,71 com/microsoft/appcenter/utils/storage/DatabaseManager.java, line(s) 7,8,9,10,40
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/ksxkq/autoclick/bean/PointInfo.java, line(s) 31 com/lahm/library/VirtualApkCheckUtil.java, line(s) 26 com/microsoft/appcenter/http/HttpClientRetryer.java, line(s) 9
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/kwai/filedownloader/e/f.java, line(s) 242 com/kwai/sodler/lib/d/b.java, line(s) 22
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 89WowSzavdSoFNCXD3EIu1axY0k iysoghaXtWIQl01xbzgpYN0lCc4 Kzlu91Tv8SwI3V1FOp4ts7a6V10 QPySj2vUIptYVVdoKfB9R73wJk OyC1u0gUrGSjt8yEm5RxeMYma2U 7ZWY64KY7J2YIO2MjOydvOydhCDshKDtg50= 2LHYpyDYp9mG2KrYrtin2Kgg2qnZhtuM2K8g24zaqSDZgdin24zZhA== m609SLTHDdO1Lc3PArJVGdBRtQ DkAstWZfIr9ALoHWQ42PLN7cqRY 2KfbjNqpINmB2KfYptmEINmF24zauiDYs9uSINin2YbYqtiu2KfYqCDaqdix24zaug==
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/afollestad/materialdialogs/MaterialDialog.java, line(s) 1722 com/alipay/imagesdk/ImageUtils.java, line(s) 11 com/github/appintro/internal/LogHelper.java, line(s) 35,47,61,80,92,111 com/ksxkq/autoclick/ui/ActivityActivityAutoLog.java, line(s) 48 com/kwai/sodler/lib/a.java, line(s) 7,11,15,19 com/kwai/sodler/lib/e.java, line(s) 57,63 com/kwai/sodler/lib/kwai/b/a.java, line(s) 167 com/kwai/sodler/lib/kwai/kwai/b.java, line(s) 25,48 com/lahm/library/VirtualApkCheckUtil.java, line(s) 63,69 com/microsoft/appcenter/AbstractAppCenterService.java, line(s) 158,215,153,186,203 com/microsoft/appcenter/AppCenter.java, line(s) 245,700,87,111,116,166,342,434,439,538,543,548,581,585,694,718,725,735,747,160,229,232,251,266,269,414,466,478,482,492,524,528,566,576,120,409,420,514,174,687,742 com/microsoft/appcenter/Constants.java, line(s) 25 com/microsoft/appcenter/CustomProperties.java, line(s) 21,27,31,43,50,56,62,96,37 com/microsoft/appcenter/Flags.java, line(s) 23 com/microsoft/appcenter/ServiceInstrumentationUtils.java, line(s) 27 com/microsoft/appcenter/UncaughtExceptionHandler.java, line(s) 39,45,48 com/microsoft/appcenter/analytics/Analytics.java, line(s) 93,132,123,136,225,229,296,305,342,182,183,300,302,308,309,310 com/microsoft/appcenter/analytics/AnalyticsTransmissionTarget.java, line(s) 38,42,46,49,192 com/microsoft/appcenter/analytics/AuthenticationProvider.java, line(s) 46,50,67,52,56 com/microsoft/appcenter/analytics/EventProperties.java, line(s) 20,34,45,26 com/microsoft/appcenter/analytics/channel/AnalyticsValidator.java, line(s) 84,61,81,102,106,108,111,115,137,142,146,158,161 com/microsoft/appcenter/analytics/channel/SessionTracker.java, line(s) 35,55,60,45 com/microsoft/appcenter/analytics/ingestion/models/EventLog.java, line(s) 28,28 com/microsoft/appcenter/analytics/ingestion/models/json/EventLogFactory.java, line(s) 29 com/microsoft/appcenter/channel/DefaultChannel.java, line(s) 182,189,277,282,285,294,308,337,356,410,414,422,426,430,462,465,478,501,506,141,261,370,391,433,374 com/microsoft/appcenter/channel/OneCollectorChannelListener.java, line(s) 126,121 com/microsoft/appcenter/crashes/Crashes.java, line(s) 251,262,269,280,291,295,308,317,401,404,410,420,423,425,427,438,505,677,729,733,265,271,300,354,446,448,701,704,749,445,511,325,326,327,328,331,333,335,336,344,345,367,368,369,370,443,444,120,257,453,507,560,575 com/microsoft/appcenter/crashes/WrapperSdkExceptionManager.java, line(s) 85,41,47,64,89,34 com/microsoft/appcenter/crashes/ingestion/models/AbstractErrorLog.java, line(s) 64,64,68,68,72,72,44,44 com/microsoft/appcenter/crashes/ingestion/models/ErrorAttachmentLog.java, line(s) 66,57,57,65,65,53,53,30,31,32 com/microsoft/appcenter/crashes/ingestion/models/HandledErrorLog.java, line(s) 30,26,26 com/microsoft/appcenter/crashes/ingestion/models/ManagedErrorLog.java, line(s) 27,27 com/microsoft/appcenter/crashes/utils/ErrorLogHelper.java, line(s) 398,75,130,269,346,363,409,417,69,70,71,73,77,82,87,89,90,91,92,93,94,103,123,174,201,440,444,446,449,453 com/microsoft/appcenter/http/AbstractAppCallTemplate.java, line(s) 14,20 com/microsoft/appcenter/http/DefaultHttpClient.java, line(s) 60 com/microsoft/appcenter/http/DefaultHttpClientCallTask.java, line(s) 94,123,126 com/microsoft/appcenter/http/HttpClientNetworkStateHandler.java, line(s) 49,65 com/microsoft/appcenter/http/HttpClientRetryer.java, line(s) 48 com/microsoft/appcenter/ingestion/OneCollectorIngestion.java, line(s) 109,59,69 com/microsoft/appcenter/ingestion/models/AbstractLog.java, line(s) 53,53,61,61,49,49 com/microsoft/appcenter/ingestion/models/one/CommonSchemaDataUtils.java, line(s) 29,89,48,63,69,77,82 com/microsoft/appcenter/ingestion/models/one/CommonSchemaLog.java, line(s) 67,63,63,55,55,51,51,39,39 com/microsoft/appcenter/ingestion/models/one/PartAUtils.java, line(s) 14,15,16,19,56 com/microsoft/appcenter/persistence/DatabasePersistence.java, line(s) 118,149,158,169,170,175,194,245,278,282,283,290,109,142,217,228,235,259,275 com/microsoft/appcenter/utils/AppCenterLog.java, line(s) 12,18,24,30,40,46,68,74,80,86 com/microsoft/appcenter/utils/AsyncTaskUtils.java, line(s) 15 com/microsoft/appcenter/utils/DeviceInfoHelper.java, line(s) 47,59,73 com/microsoft/appcenter/utils/IdHelper.java, line(s) 11 com/microsoft/appcenter/utils/NetworkStateHelper.java, line(s) 60,68,75,123 com/microsoft/appcenter/utils/context/SessionContext.java, line(s) 67,63 com/microsoft/appcenter/utils/context/UserIdContext.java, line(s) 26,35,42,46 com/microsoft/appcenter/utils/crypto/CryptoUtils.java, line(s) 194,197,237,241,244,209,219,249 com/microsoft/appcenter/utils/storage/DatabaseManager.java, line(s) 191,203,88,101,110,153,162,174,188,225,235,141,229,232,139,143 com/microsoft/appcenter/utils/storage/FileManager.java, line(s) 109,129 me/zhanghai/android/materialprogressbar/HorizontalProgressDrawable.java, line(s) 105 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 124,134 org/greenrobot/eventbus/Logger.java, line(s) 44,49 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 43 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 163
信息 此应用程序使用SQL Cipher,确保密钥没有硬编码在代码中
此应用程序使用SQL Cipher,确保密钥没有硬编码在代码中 Files: com/microsoft/appcenter/utils/storage/DatabaseManager.java, line(s) 137,145
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/lahm/library/SecurityCheckUtil.java, line(s) 51,51,51,51,51