移动应用安全检测报告:
安全基线评分
安全基线评分 46/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
3
中危安全漏洞
20
安全提示信息
3
已通过安全项
1
重点安全关注
0
高危安全漏洞 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危安全漏洞 Activity (com.koubaishin.xsh.RdagActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/stardust/autojs/engine/encryption/ScriptEncryption.java, line(s) 80,94,122 org/autojs/autojspro/v8/api/datastore/Datastore.java, line(s) 935,949
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 Service (com.koubaishin.xsh.NotificationListenerService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Activity设置了TaskAffinity属性
(com.koubaishin.xsh.AtfbfjtActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危安全漏洞 Activity设置了TaskAffinity属性
(com.koubaishin.xsh.XubiqstActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危安全漏洞 Service (com.koubaishin.xsh.AccessibilityService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Content Provider (rikka.shizuku.ShizukuProvider) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.INTERACT_ACROSS_USERS_FULL [android:exported=true] 发现一个 Content Provider被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (com.AutoBootActivity) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危安全漏洞 Broadcast Receiver (com.koubaishin.xsh.ClsycReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危安全漏洞 Activity设置了TaskAffinity属性
(com.koubaishin.xsh.RdagActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危安全漏洞 Activity (com.koubaishin.xsh.RdagActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/stardust/automator/test/TestUiObject.java, line(s) 8 g4/a.java, line(s) 3 g4/b.java, line(s) 3 h4/a.java, line(s) 4 j$/util/concurrent/ThreadLocalRandom.java, line(s) 11 x4/b.java, line(s) 4 x4/e.java, line(s) 4
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/k.java, line(s) 107,123
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/stardust/autojs/core/database/Database.java, line(s) 7,8,9,10,285,286,289,290 com/stardust/autojs/core/database/IntentTaskDatabase.java, line(s) 6,7,21,27 com/stardust/autojs/core/database/ModelDatabase.java, line(s) 5,6,109,143,227 com/stardust/autojs/core/database/TimedTaskDatabase.java, line(s) 6,7,22,28,31 com/stardust/autojs/core/pref/PrefContentProvider.java, line(s) 7,8,39 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 5,6,32,50,51
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: q6/e.java, line(s) 353 s/o.java, line(s) 242
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: e6/a.java, line(s) 239 h0/q.java, line(s) 94
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/stardust/autojs/core/pref/Pref.java, line(s) 47 com/stardust/pio/PFiles.java, line(s) 327,331,331,335,335,503 com/stardust/pio/PFilesKt.java, line(s) 27
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/stardust/autojs/core/web/InjectableWebClient.java, line(s) 102,104 com/stardust/widget/EventWebView.java, line(s) 708,856,882,909,935,700,848,874,901,927
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/stardust/autojs/core/web/InjectableWebClient.java, line(s) 105,104 com/stardust/widget/EventWebView.java, line(s) 704,852,878,905,931,700,848,874,901,927
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/stardust/pio/PFiles.java, line(s) 132
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "key_use_volume_control_running" : "key_use_volume_control_running" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" "key_foreground_service" : "key_foreground_service" "key_dont_show_main_activity" : "key_dont_show_main_activity" "tray__authority" : "legacyTrayAuthority" "key_stable_mode" : "key_stable_mode" "key_enable_accessibility_service_by_root" : "key_enable_accessibility_service_by_root" "key_print_java_stack_trace" : "key_print_java_stack_trace" 0a4fd5d5accf385b8d5f 5aeafee834a713627759dc324d 15185579316d78ec15abf ec9762027ffcb42f669a1d53 82f9e3c330825c609cec 62c6f5ccbc81db6a04c9b7 ac5fd82f9e3c330825c609cec 758fde5753ff46cbd780582f057dc5 35bbfb99ca3ddc470ccb55e 85f1454322b2bf60ff9ea87a863fa 1a863343bb5b16920a59a2 7e33e089b509da98e898 767dcbca7980a31f87ad7f785fb3
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: c1/a.java, line(s) 41 com/afollestad/materialdialogs/MaterialDialog.java, line(s) 1698 com/koubaishin/xsh/MvadymActivity.java, line(s) 86 com/koubaishin/xsh/NbalrujService.java, line(s) 273,294,262,288,264,270,292,299 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 218,238 com/stardust/autojs/AutoJs.java, line(s) 220 com/stardust/autojs/core/activity/ActivityInfoProvider.java, line(s) 110 com/stardust/autojs/core/console/log4j/LogCatAppender.java, line(s) 71,74,53,56,62,65,82,84 com/stardust/autojs/core/pref/TraySharedPreference.java, line(s) 42,57,69,81,93,105,118,130 com/stardust/autojs/core/timing/TaskSchedulerImpl.java, line(s) 295 com/stardust/autojs/core/ui/inflater/DynamicLayoutInflater.java, line(s) 127 com/stardust/autojs/core/util/CrashHandler.java, line(s) 100,119 com/stardust/autojs/core/web/SafeWebkitCookieManagerProxy.java, line(s) 114,170 com/stardust/autojs/execution/RunnableScriptExecution.java, line(s) 92 com/stardust/autojs/shell/RootAutomator2Server.java, line(s) 60 com/stardust/autojs/workground/WrapContentLinearLayoutManager.java, line(s) 27 com/stardust/automator/UiObject.java, line(s) 424 com/stardust/view/accessibility/AccessibilityNotificationObserver.java, line(s) 95,148 com/stardust/view/accessibility/OnKeyListener.java, line(s) 41 d0/a.java, line(s) 303 d4/e.java, line(s) 1251,1245,1249,1256 d7/a.java, line(s) 62,90,140,163,212 e0/d.java, line(s) 172,198 e0/e.java, line(s) 107,127,142 g0/a.java, line(s) 105 h0/a0.java, line(s) 47 h0/j.java, line(s) 132,482,510 h0/k.java, line(s) 137 h0/m.java, line(s) 24 h0/r.java, line(s) 147 h7/d.java, line(s) 105,120,127 h7/f.java, line(s) 20 i0/c.java, line(s) 214 i0/i.java, line(s) 156,191 i0/j.java, line(s) 50,52,61,108,116,125,144,148,164,175,165 j0/e.java, line(s) 51,83,95,105,128,84,108,129 j0/j.java, line(s) 76 j2/k.java, line(s) 132,157,121,146,123,129,148,154 k0/a.java, line(s) 49,48 l0/c.java, line(s) 16 l0/d.java, line(s) 46 l0/f.java, line(s) 104 l0/t.java, line(s) 94,95 l0/u.java, line(s) 40 l5/d.java, line(s) 45 l5/i.java, line(s) 311,316,326,335 me/zhanghai/android/materialprogressbar/HorizontalProgressDrawable.java, line(s) 113 me/zhanghai/android/materialprogressbar/MaterialProgressBar.java, line(s) 137,145 n/a.java, line(s) 177,707 n0/a.java, line(s) 82 net/grandcentrix/tray/core/Preferences.java, line(s) 34,39,44,50 net/grandcentrix/tray/core/TrayLog.java, line(s) 10,21 net/grandcentrix/tray/provider/ContentProviderStorage.java, line(s) 176 net/grandcentrix/tray/provider/TrayContentProvider.java, line(s) 41 net/grandcentrix/tray/provider/TrayContract.java, line(s) 35,42 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 31,43 o0/d.java, line(s) 16 o0/j.java, line(s) 22,25 o0/k.java, line(s) 179,193,258,277,284,298,304 o0/n.java, line(s) 54,64,60,70 o0/r.java, line(s) 65,69,73,77,81,86,90,102,111,103 o0/z.java, line(s) 82,89,94 o1/b.java, line(s) 159 o5/b.java, line(s) 71,101,261,65,95,250,69,76,99,106,252,258 org/autojs/autojspro/v8/PlutoJS.java, line(s) 331,320,322,328 org/opencv/android/BaseLoaderCallback.java, line(s) 109,123 org/opencv/android/Camera2Renderer.java, line(s) 66,79,105,110,116,126,154,162,185,189,193,242,265,268,271,274,77,96,134,143,160,177,200,237,260,280 org/opencv/android/CameraBridgeViewBase.java, line(s) 88,284,285,289,262 org/opencv/android/CameraGLRendererBase.java, line(s) 171,225,236,251,261,180,330,338,343,351 org/opencv/android/CameraGLSurfaceView.java, line(s) 50,57 org/opencv/android/CameraRenderer.java, line(s) 20 org/opencv/android/FpsMeter.java, line(s) 63 org/opencv/android/JavaCamera2View.java, line(s) 103,121,243,247,259,284,292,306,311,316,386,421,426,431,108,119,237,264,273,290,297,323,353,365,381,401,406 org/opencv/android/StaticHelper.java, line(s) 23,39 q2/b.java, line(s) 55 rikka/shizuku/ShizukuRemoteProcess.java, line(s) 44 s0/a.java, line(s) 141,153,158,163 s0/d.java, line(s) 17,18 s0/j.java, line(s) 44,45 u0/e.java, line(s) 38,68,89,69,90 u0/n.java, line(s) 72,73 u0/o.java, line(s) 239,240,251 u0/r.java, line(s) 78,85,79,86 u4/a.java, line(s) 48,43 u5/g.java, line(s) 10,15 u6/g.java, line(s) 128 v/h.java, line(s) 273,279,282 x0/h.java, line(s) 26,397 y0/d.java, line(s) 76,123,124 y0/i.java, line(s) 54,98,99 y2/a.java, line(s) 25
安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/stardust/autojs/runtime/api/Events.java, line(s) 32,4 y1/a.java, line(s) 6,3
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/stardust/autojs/core/console/d.java, line(s) 4,39,40 t2/d.java, line(s) 4,30
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。