页面标题
页面副标题
移动应用安全检测报告
Calls Blacklist PRO v3.3.10
50
安全评分
安全基线评分
50/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
23
中危
3
信息
1
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
23
安全提示信息
3
已通过安全项
1
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: j2/a.java, line(s) 25,29
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.vladlee.callsblacklist.ImportDataActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.vladlee.callsblacklist.SmsSendMessageActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.vladlee.callsblacklist.SmsShareViaActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.BootReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.UpdateReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.SmsReceiverKitkat) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.SmsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.SmsReceiverLowPriority) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.MmsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.vladlee.callsblacklist.SmsService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.vladlee.callsblacklist.TimeChangeReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.vladlee.callsblacklist.CallFilteringService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_SCREENING_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 高优先级 Intent(2147483647) - {2} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 高优先级 Intent(999) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/vladlee/callsblacklist/r0.java, line(s) 4,5,26,27,28,29,30,36,39,43,46,50,54,58,62,65,68,72,73 i1/k.java, line(s) 4,29 i1/l.java, line(s) 4,47 i1/n.java, line(s) 4,37 i1/o.java, line(s) 4,23 i1/r.java, line(s) 5,6,102,336,387,418 i1/v.java, line(s) 4,5,72
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/vladlee/callsblacklist/LicenseCheckActivity.java, line(s) 81 com/vladlee/callsblacklist/a0.java, line(s) 789
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: e3/a.java, line(s) 3 e3/b.java, line(s) 3 e3/c.java, line(s) 3 f3/a.java, line(s) 3
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/vladlee/callsblacklist/a0.java, line(s) 638,710 com/vladlee/callsblacklist/d1.java, line(s) 26
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: j2/l.java, line(s) 73
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "com.google.firebase.crashlytics.mapping_file_id" : "e96822077c9f420381dabc0ba266540b" "firebase_database_url" : "https://calls-blacklist-pro.firebaseio.com" "google_api_key" : "AIzaSyAApuszYyEGKLO7YFCkT5Ye_3O-2WUPg-k" "google_app_id" : "1:733754202391:android:8b7e002099449cc2" "google_crash_reporting_api_key" : "AIzaSyAApuszYyEGKLO7YFCkT5Ye_3O-2WUPg-k" eyJhdWQiOiJVR0RPWFBZQSIsImV4cCI6MjQ3MjUyMjUzMSwiaWF0Ijo5OTk3MzcwNTAwLCJpc3MiOiIiLCJqdGkiOiIiLCJuYmYiOjAsInN1YiI6IjMzODg5OTYyNTEiLCJ0eXBlIjoiIn0= En3FFyRsTY5HU4970LQo1LAcA1N6fC6575wz2xpLrT2K5E7IptTogWzcbu9Pi70i n1aUEOUeL9LMVVMPKMjCe6pzteh8z7kOFR82xjGZCq MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtLUbXa9W9gSY3vkHhYn6oi3+EFAYG3Q5D6vwQ3uGthIW4Bd/HlquSOVGnLEdN48NvRtG0l1Z0SCC+tOESptdRgMFu0+JNTGP9HtSEaTrY7at34iDRYh8fxUXLasDISDjWqn6KQNVUrkP+QOrM3IXalBtlfpRB7bpy0ipMvba1PZpvysHKGWDcEbLbYpyrjqIWQ96sfp+OcX6m+UKxHRqhikh363gBexTZkuVlMsBF167CiL9RsfQCNvr8lvHozSQJ2bA4HRP2JXOC0L7qi3j5CWJLLF4o5tujXYRlbGUmX1Hu84FWrXLjw3ZGXlVr9CJvNUTBNt0WsWpSzUCtAFaIwIDAQAB AVV4SJjQeXoXE8OyaI0RHVkrqwG uliCjThJzhoGLTGi06w0HyLd9F0PBwMvX3 Y29tLmFuZHJvaWQudmVuZGluZy5saWNlbnNpbmcuSUxpY2Vuc2luZ1NlcnZpY2U= AUXYyQ50SoxZ0RlbBpP08hJrpfdr9qcwUyV7E8p
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c2/k.java, line(s) 193 j2/g.java, line(s) 17 j2/h.java, line(s) 30 j2/i.java, line(s) 18,26 j2/j.java, line(s) 55,65,68,80,125,145,103,115,120,107,168 j2/l.java, line(s) 88,108,135,142 j2/p.java, line(s) 42,60,73,115 l0/h.java, line(s) 28 m/f.java, line(s) 31 n1/g.java, line(s) 43 p0/d.java, line(s) 11 q2/s.java, line(s) 143 r/a.java, line(s) 83,86,87,88,95,209,218 r/e.java, line(s) 45 r/f.java, line(s) 78 x/d.java, line(s) 34 x1/a.java, line(s) 36,55 y/f.java, line(s) 162 z0/c.java, line(s) 83 z1/e.java, line(s) 97,125
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/vladlee/callsblacklist/j1.java, line(s) 6,86
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://calls-blacklist-pro.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/733754202391/namespaces/firebase:fetch?key=AIzaSyAApuszYyEGKLO7YFCkT5Ye_3O-2WUPg-k ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
Calls Blacklist PRO v3.3.10
Android APK
50
综合安全评分
中风险