移动应用安全检测报告:
安全基线评分
安全基线评分 35/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
6
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
16
中危安全漏洞
21
安全提示信息
3
已通过安全项
3
重点安全关注
0
高危安全漏洞 应用程序使用了调试证书进行签名
应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 程序可被任意调试
[android:debuggable=true] 应用可调试标签被开启,这使得逆向工程师更容易将调试器挂接到应用程序上。这允许导出堆栈跟踪和访问调试助手类。
高危安全漏洞 Activity (ph.cashme666.android.activity.ActivityH5) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (ph.cashme666.android.activity.Activity_Sign) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (ph.cashme666.android.activity.Activity_TestGPS) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=ph.cashme666.android.view.activity.HomeActivity][android:host=http://cashvay.page.link] App Link 资产验证 URL (http://cashvay.page.link/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:301)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=ph.cashme666.android.view.activity.HomeActivity][android:host=https://cashvay.page.link] App Link 资产验证 URL (https://cashvay.page.link/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:200)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危安全漏洞 Activity (ph.cashme666.android.view.activity.LoginAndRegisterActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: ph/cashme666/android/base/BaseWebViewUtil.java, line(s) 296,292
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/contrarywind/mView/BuildConfig.java, line(s) 3,5 com/hotpot/view/BuildConfig.java, line(s) 3,5 ph/cashme666/android/BuildConfig.java, line(s) 3,6 sc/top/core/BuildConfig.java, line(s) 3,5 vbvousd/olsjdof/fixcodesxcvds/BuildConfig.java, line(s) 3,5
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/oliveapp/camerasdk/a/f.java, line(s) 28
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/oliveapp/camerasdk/a/a.java, line(s) 431
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Activity (ph.cashme666.android.activity.Activity_Sign) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (ph.cashme666.android.activity.Activity_TestGPS) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (ph.cashme666.android.service.MyFirebaseMessagingService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危安全漏洞 Activity (ph.cashme666.android.view.activity.HomeActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危安全漏洞 Activity (ph.cashme666.android.camera.CameraActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Content Provider (com.facebook.FacebookContentProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: bw/jf/devicelib/base/EventManager.java, line(s) 11 bw/jf/devicelib/beans/JsBeans.java, line(s) 9,12,18 bw/jf/devicelib/network/BaseRequestManager.java, line(s) 284,295 com/oliveapp/camerasdk/data/ShowChoices.java, line(s) 131 io/grpc/internal/DnsNameResolver.java, line(s) 67,65,66,68 io/grpc/internal/TransportFrameUtil.java, line(s) 36 ph/cashme666/android/Constant.java, line(s) 52,16 ph/cashme666/android/base/EventManager.java, line(s) 18,61,71,81,96 ph/cashme666/android/beans/JsBeans.java, line(s) 8,11,14,17 ph/cashme666/android/model/bean/EventBean.java, line(s) 9,12,15,18,21,24 ph/cashme666/android/network/HttpRequestManager.java, line(s) 414 ph/cashme666/android/widget/SideBar.java, line(s) 36,44,52
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/lahm/library/VirtualApkCheckUtil.java, line(s) 28 io/grpc/internal/DnsNameResolver.java, line(s) 31 io/grpc/internal/ExponentialBackoffPolicy.java, line(s) 5 io/grpc/internal/RetriableStream.java, line(s) 22 io/grpc/okhttp/OkHttpClientTransport.java, line(s) 65 io/grpc/util/RoundRobinLoadBalancer.java, line(s) 21 ph/cashme666/android/dialog/AIUtil.java, line(s) 16 ph/cashme666/android/dialog/AIUtil2.java, line(s) 15
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: ph/cashme666/android/base/BaseWebViewUtil.java, line(s) 104,102 ph/cashme666/android/view/activity/WebActivity.java, line(s) 96,95 sc/top/core/base/utils/BaseWebViewUtil.java, line(s) 125,123
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/oliveapp/camerasdk/utils/h.java, line(s) 14,23 com/oliveapp/libcommon/utility/FileUtil.java, line(s) 22 ph/cashme666/android/base/CrashHandler.java, line(s) 150,151
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/lahm/library/EmulatorCheckUtil.java, line(s) 282 com/lahm/library/SecurityCheckUtil.java, line(s) 82 com/lahm/library/VirtualApkCheckUtil.java, line(s) 185,261 vbvousd/olsjdof/fixcodesxcvds/tcp/Client.java, line(s) 17
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: vbvousd/olsjdof/fixcodesxcvds/accountbook/sql/manager/SqlManager.java, line(s) 4,60,68,79,123
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: org/junit/rules/TemporaryFolder.java, line(s) 41,77
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: io/grpc/okhttp/internal/Util.java, line(s) 156 ph/cashme666/android/utils/FingerprintUtil.java, line(s) 43
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: io/grpc/okhttp/internal/Util.java, line(s) 168,180
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.zing.zalo.zalosdk.appID" : "@string/zalo_appID" "google_app_id" : "1:380516971103:android:116653e6c2ff4753" "google_crash_reporting_api_key" : "AIzaSyDiMulP58sNB-v8vHnJM4R4SVW7A9HGNd4" "facebook_app_id" : "302474354727431" "firebase_database_url" : "https://cashme-33fb2.firebaseio.com" "google_api_key" : "AIzaSyDiMulP58sNB-v8vHnJM4R4SVW7A9HGNd4" "account_kit_client_token" : "0968164ae74d3dd3877cd44c39c4941f" a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc df6b721c8b4d3b6eb44c861d4415007e5a35fc95 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 9b8f518b086098de3d77736f9458a3d2f6f95a37 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 cc2751449a350f668590264ed76692694a80308a f8eb1b5ecbd7419db205a59b32817854
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bw/jf/devicelib/utils/PingUtil.java, line(s) 21,27 bw/jf/devicelib/utils/RootCheck.java, line(s) 23 cn/jzvd/JZTextureView.java, line(s) 51,79,80 cn/jzvd/JZUtils.java, line(s) 88 cn/jzvd/Jzvd.java, line(s) 104,117,225,251,459,461,470,474,574,616,969,484,208,243,267,277,294,312,318,367,377,383,388,395,421,439,445,451,493,513,642,654,731,740,752,980 cn/jzvd/JzvdStd.java, line(s) 283 com/contrarywind/view/WheelView.java, line(s) 330 com/lahm/library/VirtualApkCheckUtil.java, line(s) 272,283 com/oliveapp/camerasdk/a/b.java, line(s) 94 com/oliveapp/camerasdk/a/i.java, line(s) 51,61,19,22,56 com/oliveapp/face/idcardcaptorsdk/captor/IDCardCaptor.java, line(s) 88,92,120,158 com/oliveapp/face/idcardcaptorsdk/captor/a.java, line(s) 66 com/oliveapp/face/idcardcaptorsdk/captor/d.java, line(s) 20,27,32,30,22 com/oliveapp/libcommon/utility/LogUtil.java, line(s) 50,66,74,32,34,42,58,81 com/tbruyelle/rxpermissions2/RxPermissionsFragment.java, line(s) 80,44 io/grpc/android/AndroidChannelBuilder.java, line(s) 110 io/grpc/okhttp/internal/Platform.java, line(s) 53 junit/runner/BaseTestRunner.java, line(s) 150 junit/runner/Version.java, line(s) 12 junit/textui/TestRunner.java, line(s) 94,117,144 me/yokeyword/fragmentation/TransactionDelegate.java, line(s) 298,484,277,292 me/yokeyword/fragmentation/debug/DebugStackDelegate.java, line(s) 128 me/yokeyword/fragmentation/exception/AfterSaveStateTransactionWarning.java, line(s) 8 ph/cashme666/android/Test.java, line(s) 8 ph/cashme666/android/base/CrashHandler.java, line(s) 119,58,66,112,121,162,46 ph/cashme666/android/beans/DeviceInfos.java, line(s) 269,272 ph/cashme666/android/network/PersistentCookieStore.java, line(s) 118,131,134 ph/cashme666/android/network/UploadBody.java, line(s) 40,60,82 ph/cashme666/android/utils/ApkListUtils.java, line(s) 22 ph/cashme666/android/utils/Base64.java, line(s) 76 ph/cashme666/android/utils/CameraUtils.java, line(s) 25 ph/cashme666/android/utils/CharacterParser.java, line(s) 28 ph/cashme666/android/utils/LoactionUtil.java, line(s) 147,201 ph/cashme666/android/utils/LogUtils.java, line(s) 35,29,17,23 ph/cashme666/android/utils/Logger.java, line(s) 36,24,30,42,12,18 ph/cashme666/android/utils/RootCheck.java, line(s) 23 ph/cashme666/android/utils/RunMain.java, line(s) 9,10 ph/cashme666/android/utils/WebViewUtil.java, line(s) 735 ph/cashme666/android/view/activity/AuthenticationActivity.java, line(s) 290 ph/cashme666/android/view/activity/WebActivity.java, line(s) 181,183 ph/cashme666/android/view/fragment/loanstatusfragment/LoanApplyingFragment.java, line(s) 730,743 ph/cashme666/android/widget/CustomPopWindow.java, line(s) 175,177,181 ph/cashme666/android/widget/pagefling/DefinedScrollView.java, line(s) 212,216,222,225,226,230,259 sc/top/core/base/BaseApplication.java, line(s) 158,145 sc/top/core/base/CrashHandler.java, line(s) 124,63,71,117,126,165,168,51 sc/top/core/base/network_rf/network/PersistentCookieStore.java, line(s) 119,132,135 sc/top/core/base/network_rf/network/UploadBody.java, line(s) 43,63,86 sc/top/core/base/utils/Base64.java, line(s) 78 sc/top/core/base/utils/CustomPopWindow.java, line(s) 176,178,182 sc/top/core/base/utils/LoactionUtil.java, line(s) 146,200 sc/top/core/base/utils/Logger.java, line(s) 42,30,36,18,24 top/zibin/luban/Luban.java, line(s) 84,83 vbvousd/olsjdof/fixcodesxcvds/accountbook/accountbook/com/zdlist.java, line(s) 55,182,183 vbvousd/olsjdof/fixcodesxcvds/accountbook/sql/manager/SqlManager.java, line(s) 29,43,45,50,54,56,66,71,91,93,97,120,136 vbvousd/olsjdof/fixcodesxcvds/accountbook/view/pulldown/PullDoorView.java, line(s) 116,97,103,108 vbvousd/olsjdof/fixcodesxcvds/atm/ATMIO.java, line(s) 17,20,30,51,62,71 vbvousd/olsjdof/fixcodesxcvds/atm/DoWork.java, line(s) 13,22,28,31,35,41 vbvousd/olsjdof/fixcodesxcvds/atm/Init.java, line(s) 6,9,12,14,16,18,20,27,30,35 vbvousd/olsjdof/fixcodesxcvds/atm/Menu.java, line(s) 8,13,19,22,25,29,35,49,53 vbvousd/olsjdof/fixcodesxcvds/atm/udp/Client.java, line(s) 13 vbvousd/olsjdof/fixcodesxcvds/atm/udp/Server.java, line(s) 12 vbvousd/olsjdof/fixcodesxcvds/tcp/Client.java, line(s) 29,32 vbvousd/olsjdof/fixcodesxcvds/tcp/getmsg.java, line(s) 24 vbvousd/olsjdof/fixcodesxcvds/tuodong/DragListActivity.java, line(s) 28 vbvousd/olsjdof/fixcodesxcvds/tuodong/DragListView.java, line(s) 82
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: bw/jf/devicelib/utils/ClipbordUtil.java, line(s) 4,22
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://cashme-33fb2.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: ph/cashme666/android/network/HttpsUtils.java, line(s) 156,100,119,155,143,154,154 ph/cashme666/android/network/RetrofitManager.java, line(s) 120,79,96 sc/top/core/base/network_rf/network/HttpsUtils.java, line(s) 159,103,122,158,146,157,157 sc/top/core/base/network_rf/network/RetrofitManager.java, line(s) 118,76,94
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/lahm/library/SecurityCheckUtil.java, line(s) 118,118,118,118,118
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/380516971103/namespaces/firebase:fetch?key=AIzaSyDiMulP58sNB-v8vHnJM4R4SVW7A9HGNd4 ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}