安全分析报告:
安全分数
安全分数 50/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
5
用户/设备跟踪器
调研结果
高危
1
中危
20
信息
3
安全
1
关注
0
高危 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 易受 Janus 漏洞影响的应用程序
应用程序使用 v1 签名方案签名,如果仅使用 v1 签名方案签名,则使其容易受到 Android 5.0-8.0 上的 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
中危 应用程序可以安装在易受攻击的Android版本上
[minSdk=15] 此应用程序可以安装在具有多个未修复漏洞的旧版本android上。建议支持Android版本>8,API 26以接收合理的安全更新。
中危 程序数据任意备份
[android:allowBackup=true] 此标志允许任何人备份您的应用程序数据。它允许已启用USB的用户进行调试以复制应用程序数据设备。
中危 Activity (devdnua.clipboard.SplashActivity) 未被保护。
存在一个intent-filter。 n Activity 被发现与其他应用程序共享,因此任何其他设备上的应用都可以访问它。 intent-filter的存在表明Activity被显式导出
中危 Activity (devdnua.clipboard.MainActivity) 未被保护。
存在一个intent-filter。 n Activity 被发现与其他应用程序共享,因此任何其他设备上的应用都可以访问它。 intent-filter的存在表明Activity被显式导出
中危 Activity设置了TaskAffinity属性
(devdnua.clipboard.ActionsActivity) 如果设置了taskAffinity,则其他应用程序可以读出发送给属于另一个任务的活动的意图。总是使用默认值设置将affinity作为包名为了防止里面有敏感信息发送或接收intent被读取另一个应用程序。
中危 Activity (devdnua.clipboard.ActionsActivity) 未被保护。
存在一个intent-filter。 n Activity 被发现与其他应用程序共享,因此任何其他设备上的应用都可以访问它。 intent-filter的存在表明Activity被显式导出
中危 Activity设置了TaskAffinity属性
(devdnua.clipboard.RecentNotesActivity) 如果设置了taskAffinity,则其他应用程序可以读出发送给属于另一个任务的活动的意图。总是使用默认值设置将affinity作为包名为了防止里面有敏感信息发送或接收intent被读取另一个应用程序。
中危 Service (devdnua.clipboard.KeyboardService) 受权限保护, 但权限保护级别应该被检查。
Permission: android.permission.BIND_INPUT_METHOD [android:exported=true] 发现Service与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。它受分析应用程序中未定义的权限保护。因此,应在定义权限的位置检查权限的保护级别。如果设置为正常或危险,恶意应用程序可以请求和获取权限,并与组件进行交互。如果设置为签名,则只有使用同一证书签名的应用程序才能获得权限。
中危 Broadcast Receiver (devdnua.clipboard.receivers.BootComplete) 未被保护。
存在一个intent-filter。 Broadcast Receiver 被发现与其他应用程序共享,因此任何其他设备上的应用都可以访问它。 intent-filter的存在表明Broadcast Receiver被显式导出
中危 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但权限保护级别应该被检查。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 发现Broadcast Receiver与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。它受分析应用程序中未定义的权限保护。因此,应在定义权限的位置检查权限的保护级别。如果设置为正常或危险,恶意应用程序可以请求和获取权限,并与组件进行交互。如果设置为签名,则只有使用同一证书签名的应用程序才能获得权限。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但权限保护级别应该被检查。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现Broadcast Receiver与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。它受分析应用程序中未定义的权限保护。因此,应在定义权限的位置检查权限的保护级别。如果设置为正常或危险,恶意应用程序可以请求和获取权限,并与组件进行交互。如果设置为签名,则只有使用同一证书签名的应用程序才能获得权限。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等。
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: etp/com/sensorsdata/analytics/android/sdk/data/adapter/DbParams.java, line(s) 53,17,19 etp/com/sensorsdata/analytics/android/sdk/encrypt/SensorsDataEncrypt.java, line(s) 144,124,15 etp/com/sensorsdata/analytics/android/sdk/plugin/encrypt/AbstractStoreManager.java, line(s) 536,556,576,596,608 etp/com/sensorsdata/analytics/android/sdk/plugin/encrypt/SAStoreManager.java, line(s) 11 etp/com/sensorsdata/analytics/android/sdk/useridentity/Identities.java, line(s) 23 etp/com/sensorsdata/analytics/android/sdk/util/SADataHelper.java, line(s) 121,103 etp/com/sensorsdata/analytics/android/sdk/util/SASchemeHelper.java, line(s) 83 etp/com/sensorsdata/analytics/android/sdk/util/SensorsDataUtils.java, line(s) 39,41
中危 应用程序使用不安全的随机数生成器。
应用程序使用不安全的随机数生成器。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/jojoy/core/dialog/AppsGhostDialog.java, line(s) 20 devdnua/clipboard/a/a/a.java, line(s) 17
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库。
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: devdnua/clipboard/model/b/a.java, line(s) 4,18 devdnua/clipboard/model/b/b.java, line(s) 4,21 devdnua/clipboard/model/provider/NoteContentProvider.java, line(s) 7,39 etp/com/sensorsdata/analytics/android/sdk/data/OldBDatabaseHelper.java, line(s) 5,6,19 etp/com/sensorsdata/analytics/android/sdk/data/SensorsDataDBHelper.java, line(s) 4,5,21
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据。
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/flurry/sdk/he.java, line(s) 42 devdnua/clipboard/c/b.java, line(s) 176
中危 MD5是已知存在哈希冲突的弱哈希。
MD5是已知存在哈希冲突的弱哈希。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a/a/a/a.java, line(s) 27 etp/a/a/a/a.java, line(s) 27 etp/com/sensorsdata/analytics/android/sdk/visual/ViewSnapshot.java, line(s) 144
中危 IP地址泄露。
IP地址泄露。 Files: a/a/a/d.java, line(s) 163 etp/a/a/a/d.java, line(s) 163
中危 不安全的Web视图实现。在Web视图中执行用户控制的代码是一个关键的安全漏洞。
不安全的Web视图实现。在Web视图中执行用户控制的代码是一个关键的安全漏洞。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: etp/com/sensorsdata/analytics/android/sdk/SensorsDataAPI.java, line(s) 1790,1789
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "firebase_database_url" : "https://api-project-42711577654.firebaseio.com" "google_api_key" : "AIzaSyB_SmMs5rhons76bKPFH1XMSrQf6oKeVF0" "google_crash_reporting_api_key" : "AIzaSyB_SmMs5rhons76bKPFH1XMSrQf6oKeVF0"
信息 应用程序记录日志信息,不得记录敏感信息。
应用程序记录日志信息,不得记录敏感信息。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/a/a/c.java, line(s) 75,77,89,95,679 a/a/a/d.java, line(s) 72,115,120,130,135,158,164,175,199,204,225,249,263,265,268,274,284 a/a/a/i.java, line(s) 36,78,39,81 com/flurry/android/FlurryAgent.java, line(s) 714 com/jojoy/core/log/LogManager.java, line(s) 77,87,107,110,103 com/jojoy/core/main/JojoyContainer.java, line(s) 99 com/jojoy/core/model/bean/KeyWords.java, line(s) 27,48 com/jojoy/core/toast/BootstrapClass.java, line(s) 20 com/jojoy/core/toast/ToastProxy.java, line(s) 40,35 com/jojoy/core/ui/JWebView.java, line(s) 42,48,54,60 com/jojoy/delegate/ApplicationWrapper.java, line(s) 38,43,55,60,65,70,75,80 com/jojoy/volley/AsyncNetwork.java, line(s) 48 com/jojoy/volley/CacheDispatcher.java, line(s) 43,31 com/jojoy/volley/NetworkDispatcher.java, line(s) 44,66 com/jojoy/volley/Request.java, line(s) 158,164 com/jojoy/volley/VolleyLog.java, line(s) 26,100,103,30,34,113,10,16,21,38,42 com/jojoy/volley/WaitingRequestManager.java, line(s) 91,98,72,45,60 com/jojoy/volley/toolbox/AsyncHttpStack.java, line(s) 76 com/jojoy/volley/toolbox/DiskBasedCache.java, line(s) 77,92,101,163,169,185,203,225,343,112,214,234 com/jojoy/volley/toolbox/HttpHeaderParser.java, line(s) 113,110 com/jojoy/volley/toolbox/ImageRequest.java, line(s) 74 com/jojoy/volley/toolbox/JsonRequest.java, line(s) 75 com/jojoy/volley/toolbox/NetworkUtility.java, line(s) 36,121,66,79 devdnua/clipboard/view/fragment/SettingsFragment.java, line(s) 91 etp/a/a/a/c.java, line(s) 75,77,89,95,679 etp/a/a/a/d.java, line(s) 72,115,120,130,135,158,164,175,199,204,225,249,263,265,268,274,284 etp/a/a/a/i.java, line(s) 36,78,39,81 etp/com/sensorsdata/analytics/android/sdk/AbstractSensorsDataAPI.java, line(s) 191,192,199,227,240,268,281,434,519,617,699,816,865,924,955,956,1014,1030,1051,1060,1061,1483,1505,1506,1517,1518,1586,1166,1263,1268 etp/com/sensorsdata/analytics/android/sdk/AnalyticsMessages.java, line(s) 71,79,94,105,123,130,137,144,216,218,222,250,251,260,264,270,271,282,283,292,293,304,305,308,316,317,333,337,365,405,437,440,441,446,516,526 etp/com/sensorsdata/analytics/android/sdk/AppStateManager.java, line(s) 131 etp/com/sensorsdata/analytics/android/sdk/AppWebViewInterface.java, line(s) 60,102,112,127 etp/com/sensorsdata/analytics/android/sdk/PropertyBuilder.java, line(s) 43,51 etp/com/sensorsdata/analytics/android/sdk/SALog.java, line(s) 95,52,59,74 etp/com/sensorsdata/analytics/android/sdk/SensorsDataAPI.java, line(s) 1822,212,237,245,246,319,980,1552,1646,1657,1685,1787,1856,1879,225,244,605 etp/com/sensorsdata/analytics/android/sdk/SensorsDataAutoTrackHelper.java, line(s) 98,74,109,122,140,148,161 etp/com/sensorsdata/analytics/android/sdk/aop/push/PushAutoTrackHelper.java, line(s) 28,37,68,97,110,126,135,153,173,195,214,225,234,239,248,262,274,282,289,303,314,337,351,354 etp/com/sensorsdata/analytics/android/sdk/aop/push/PushProcess.java, line(s) 118,152,175,195,215,220,236,288,299,323,333,339 etp/com/sensorsdata/analytics/android/sdk/autotrack/ActivityLifecycleCallbacks.java, line(s) 115,169,237,440 etp/com/sensorsdata/analytics/android/sdk/autotrack/FragmentViewScreenCallbacks.java, line(s) 50,94,97,157,160 etp/com/sensorsdata/analytics/android/sdk/data/SensorsDataDBHelper.java, line(s) 20,32 etp/com/sensorsdata/analytics/android/sdk/data/adapter/DataOperation.java, line(s) 52 etp/com/sensorsdata/analytics/android/sdk/data/adapter/EncryptDataOperation.java, line(s) 53 etp/com/sensorsdata/analytics/android/sdk/data/adapter/EventDataOperation.java, line(s) 48,89 etp/com/sensorsdata/analytics/android/sdk/data/persistent/PersistentSuperProperties.java, line(s) 21 etp/com/sensorsdata/analytics/android/sdk/dialog/SchemeActivity.java, line(s) 28,59,69 etp/com/sensorsdata/analytics/android/sdk/dialog/SensorsDataDialogUtils.java, line(s) 98,129,144,178,214,284,301,309,511,520,587 etp/com/sensorsdata/analytics/android/sdk/encrypt/AESSecretManager.java, line(s) 39,62,79 etp/com/sensorsdata/analytics/android/sdk/encrypt/EncryptUtils.java, line(s) 37 etp/com/sensorsdata/analytics/android/sdk/encrypt/SAECEncrypt.java, line(s) 15 etp/com/sensorsdata/analytics/android/sdk/encrypt/SensorsDataEncrypt.java, line(s) 124,144,236 etp/com/sensorsdata/analytics/android/sdk/network/HttpConfig.java, line(s) 23,32 etp/com/sensorsdata/analytics/android/sdk/network/RealRequest.java, line(s) 26,65,92,110 etp/com/sensorsdata/analytics/android/sdk/plugin/encrypt/AbstractStoreManager.java, line(s) 218,261,304,372,388,429,454,468,516,536,556,576,596,608,643 etp/com/sensorsdata/analytics/android/sdk/plugin/property/SensorsDataPropertyPluginManager.java, line(s) 124,127,138,144 etp/com/sensorsdata/analytics/android/sdk/remote/BaseSensorsDataSDKRemoteManager.java, line(s) 93,94,108,119,141,152,167 etp/com/sensorsdata/analytics/android/sdk/remote/SensorsDataRemoteManager.java, line(s) 48,65,69,95,147,148,153,158,185,193,225,228 etp/com/sensorsdata/analytics/android/sdk/remote/SensorsDataRemoteManagerDebug.java, line(s) 44,69,91,104,121,122,127,129,130,136,137,143,151,156,161,172 etp/com/sensorsdata/analytics/android/sdk/useridentity/Identities.java, line(s) 204,214,223 etp/com/sensorsdata/analytics/android/sdk/useridentity/LoginIDAndKey.java, line(s) 16,26,31,39 etp/com/sensorsdata/analytics/android/sdk/useridentity/UserIdentityAPI.java, line(s) 120,190,202,216,219 etp/com/sensorsdata/analytics/android/sdk/util/AopUtil.java, line(s) 134,135,137,151,333,550 etp/com/sensorsdata/analytics/android/sdk/util/AppInfoUtils.java, line(s) 43 etp/com/sensorsdata/analytics/android/sdk/util/DeviceUtils.java, line(s) 36,41,47,54,61,168,182 etp/com/sensorsdata/analytics/android/sdk/util/NetworkUtils.java, line(s) 38,52,59,66,284,326 etp/com/sensorsdata/analytics/android/sdk/util/SADataHelper.java, line(s) 47,59,64,69,71,81,88,101,108,131,141,145 etp/com/sensorsdata/analytics/android/sdk/util/SASchemeHelper.java, line(s) 83,122,135 etp/com/sensorsdata/analytics/android/sdk/util/SASpUtils.java, line(s) 20 etp/com/sensorsdata/analytics/android/sdk/util/SensorsDataUtils.java, line(s) 82,86,171,187,296,423,557 etp/com/sensorsdata/analytics/android/sdk/util/ThreadUtils.java, line(s) 87,119 etp/com/sensorsdata/analytics/android/sdk/util/ToastUtil.java, line(s) 59,68 etp/com/sensorsdata/analytics/android/sdk/visual/AbstractViewCrawler.java, line(s) 169,170,356,403,422,476,488,507,514,521,588,627,670,724,766,788,831,873,923,960,965,972,979,1025,1063,1095,1102,1109,1155 etp/com/sensorsdata/analytics/android/sdk/visual/ViewSnapshot.java, line(s) 231,85,146,535,776,780,800,804,819,823,838,842,858,917 etp/com/sensorsdata/analytics/android/sdk/visual/VisualDebugHelper.java, line(s) 56,73,126 etp/com/sensorsdata/analytics/android/sdk/visual/VisualizedAutoTrackService.java, line(s) 38,53,69 etp/com/sensorsdata/analytics/android/sdk/visual/WebNodesManager.java, line(s) 250 etp/com/sensorsdata/analytics/android/sdk/visual/WebViewVisualInterface.java, line(s) 29,38 etp/com/sensorsdata/analytics/android/sdk/visual/property/VisualConfigRequestHelper.java, line(s) 44,50,62,72,122 etp/com/sensorsdata/analytics/android/sdk/visual/property/VisualPropertiesCache.java, line(s) 78,141 etp/com/sensorsdata/analytics/android/sdk/visual/property/VisualPropertiesManager.java, line(s) 143,163,205,207,211,247,252,261,318,320,322,334,362,377,382,391,434 etp/com/sensorsdata/analytics/android/sdk/visual/snap/Caller.java, line(s) 78,87,96 etp/com/sensorsdata/analytics/android/sdk/visual/snap/Pathfinder.java, line(s) 119,169 etp/com/sensorsdata/analytics/android/sdk/visual/snap/ResourceReader.java, line(s) 75,96,97 etp/com/sensorsdata/analytics/android/sdk/visual/view/PairingCodeEditDialog.java, line(s) 32,80,97,103,134,137 etp/com/sensorsdata/analytics/android/sdk/visual/view/PairingCodeRequestHelper.java, line(s) 29,55,65
信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改。
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: devdnua/clipboard/ListenerService.java, line(s) 26,6
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它。
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: devdnua/clipboard/library/b.java, line(s) 4,48 devdnua/clipboard/receivers/CleanClipboard.java, line(s) 5,10
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击。
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/flurry/sdk/dg.java, line(s) 106,84,82,82