安全分析报告:
安全分数
安全分数 30/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
6
用户/设备跟踪器
调研结果
高危
25
中危
24
信息
2
安全
3
关注
0
高危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危 Activity (cm.aptoide.pt.view.MainActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (cm.aptoide.pt.view.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (25) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.facebook.CustomTabActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (25) 更新到 29 或更高版本以在平台级别修复此问题。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://app.aptoide.com] App Link 资产验证 URL (http://app.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://app.aptoide.com] App Link 资产验证 URL (https://app.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://webservices.aptoide.com] App Link 资产验证 URL (http://webservices.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://webservices.aptoide.com] App Link 资产验证 URL (https://webservices.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://br.aptoide.com] App Link 资产验证 URL (http://br.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://br.aptoide.com] App Link 资产验证 URL (https://br.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://mx.aptoide.com] App Link 资产验证 URL (http://mx.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://de.aptoide.com] App Link 资产验证 URL (http://de.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://sa.aptoide.com] App Link 资产验证 URL (https://sa.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://in.aptoide.com] App Link 资产验证 URL (http://in.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://vn.aptoide.com] App Link 资产验证 URL (https://vn.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://ro.aptoide.com] App Link 资产验证 URL (http://ro.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://hu.aptoide.com] App Link 资产验证 URL (http://hu.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://nl.aptoide.com] App Link 资产验证 URL (https://nl.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://kr.aptoide.com] App Link 资产验证 URL (https://kr.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://community.aptoide.com] App Link 资产验证 URL (http://community.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://community.aptoide.com] App Link 资产验证 URL (https://community.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=http://become-a-power-gamer.aptoide.com] App Link 资产验证 URL (http://become-a-power-gamer.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 App 链接 assetlinks.json 文件未找到
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver][android:host=https://become-a-power-gamer.aptoide.com] App Link 资产验证 URL (https://become-a-power-gamer.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 Activity (cm.aptoide.pt.DeepLinkIntentReceiver) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (25) 更新到 29 或更高版本以在平台级别修复此问题。
高危 应用程序包含隐私跟踪程序
此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 基本配置配置为信任系统证书。
Scope: *
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 4.1-4.1.2, [minSdk=16] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 Activity设置了TaskAffinity属性
(cm.aptoide.pt.wallet.WalletInstallActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (cm.aptoide.pt.account.AccountAuthenticatorService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Content Provider (cm.aptoide.pt.toolbox.ToolboxContentProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity设置了TaskAffinity属性
(cm.aptoide.pt.DeepLinkIntentReceiver) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cm.aptoide.pt.DeepLinkIntentReceiver) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (cm.aptoide.pt.install.InstalledBroadcastReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (cm.aptoide.pt.notification.NotificationReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (cm.aptoide.pt.install.CheckRootOnBoot) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (cm.aptoide.pt.widget.SearchWidgetProvider) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 高优先级的Intent (999)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: cm/aptoide/pt/ads/AdsRepository.java, line(s) 19 cm/aptoide/pt/utils/AptoideUtils.java, line(s) 65 io/sentry/connection/l.java, line(s) 3 r/a/g/h.java, line(s) 13 r/a/g/l.java, line(s) 21
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: cm/aptoide/pt/BuildConfig.java, line(s) 21,29,30,25,18 cm/aptoide/pt/DeepLinkIntentReceiver.java, line(s) 60,61,68,70,72,78 cm/aptoide/pt/account/AccountAnalytics.java, line(s) 30 cm/aptoide/pt/account/AndroidAccountManagerPersistence.java, line(s) 25,27 cm/aptoide/pt/account/view/LoginSignUpCredentialsFragment.java, line(s) 44 cm/aptoide/pt/app/view/MoreBundleFragment.java, line(s) 40 cm/aptoide/pt/bottomNavigation/BottomNavigationActivity.java, line(s) 17 cm/aptoide/pt/database/room/RoomNotification.java, line(s) 5 cm/aptoide/pt/database/room/RoomStore.java, line(s) 9 cm/aptoide/pt/dataprovider/WebService.java, line(s) 25 cm/aptoide/pt/dataprovider/model/v3/CheckUserCredentialsJson.java, line(s) 223 cm/aptoide/pt/home/HomeFragment.java, line(s) 50 cm/aptoide/pt/home/bundles/BundlesRepository.java, line(s) 10 cm/aptoide/pt/networking/Pnp1AuthorizationInterceptor.java, line(s) 9 cm/aptoide/pt/preferences/LocalPersistenceAdultContent.java, line(s) 4,3 cm/aptoide/pt/preferences/managed/ManagedKeys.java, line(s) 12,17,7,24,25 cm/aptoide/pt/promotions/ClaimPromotionDialogFragment.java, line(s) 31 cm/aptoide/pt/themes/ThemeManager.java, line(s) 52 cm/aptoide/pt/view/DeepLinkManager.java, line(s) 61 cm/aptoide/pt/view/app/ListStoreAppsFragment.java, line(s) 26 cm/aptoide/pt/view/fragment/GridRecyclerSwipeWithToolbarFragment.java, line(s) 14 cm/aptoide/pt/view/settings/SettingsFragment.java, line(s) 62,64,60,61,59,65,66,67,69 com/bumptech/glide/load/engine/d.java, line(s) 28 com/bumptech/glide/load/engine/p.java, line(s) 75 com/bumptech/glide/load/engine/w.java, line(s) 57 com/bumptech/glide/load/h.java, line(s) 59 q/b/l/g/k.java, line(s) 56
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: cm/aptoide/pt/account/view/PhotoFileGenerator.java, line(s) 28 l/n/b.java, line(s) 276
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cm/aptoide/pt/ApplicationModule.java, line(s) 493 cm/aptoide/pt/database/room/RoomInstalled.java, line(s) 48 cm/aptoide/pt/install/installer/DefaultInstaller.java, line(s) 40 cm/aptoide/pt/view/ActivityModule.java, line(s) 228 com/flurry/sdk/i4.java, line(s) 46 q/b/g/d/a/a.java, line(s) 209,293,324
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/liulishuo/filedownloader/services/b.java, line(s) 5,29 com/liulishuo/filedownloader/services/c.java, line(s) 4,5,13 io/rakam/api/b.java, line(s) 6,7,8,9,10,140 l/q/a/g/a.java, line(s) 5,6,7,8,81
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cm/aptoide/pt/preferences/PRNGFixes.java, line(s) 190,194 cm/aptoide/pt/utils/AptoideUtils.java, line(s) 1021,1130
中危 IP地址泄露
IP地址泄露 Files: cm/aptoide/pt/BuildConfig.java, line(s) 34 r/a/g/l.java, line(s) 871
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cm/aptoide/pt/download/FileDownloadTask.java, line(s) 39 cm/aptoide/pt/utils/AptoideUtils.java, line(s) 1099 n/h/a/f0/f.java, line(s) 93
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "authenticator_account_type" : "cm.aptoide.pt" "password" : "Password" "search_suggestion_provider_authority" : "cm.aptoide.pt.provider.SearchSuggestionProvider" "store_suggestion_provider_authority" : "cm.aptoide.pt.provider.StoreSearchSuggestionProvider" "store_username" : "Nickname" "username" : "Email" "password" : "گذرواژه" "com_facebook_device_auth_instructions" : "<b>facebook.com/device</b>にアクセスして、上のコードを入力してください。" "nothing_inserted_user" : "ニックネームと写真(任意)を入れて、プロフィールを作成" "password" : "パスワード" "recover_password" : "あなたのパスワードを回復します" "store_username" : "ニックネーム" "username" : "Eメール" "password" : "ਪਾਸਵਰਡ" "store_username" : "ਉਪਨਾਮ" "username" : "ਈਮੇਲ" "password" : "Passwort" "store_username" : "Nick" "username" : "E-Mail" "password" : "Парола" "store_username" : "Прякор" "username" : "Имейл" "nothing_inserted_user" : "โปรดใส่ชื่อผู้ใช้และรูปภาพ(ทางเลือก)เพื่อสร้างโปรไฟล์ของคุณ" "password" : "รหัสผ่าน" "recover_password" : "รื้อฟื้นรหัสผ่านของคุณ" "social_timeline_users_private" : "%dเป็นส่วนตัว" "store_username" : "ชื่อเล่น" "username" : "อีเมล" "password" : "Salasana" "store_username" : "Nimimerkki" "username" : "Sähköposti" "password" : "पासवर्ड" "store_username" : "उपनाम" "store_username" : "Nickname" "password" : "Пароль" "store_username" : "Псевдонім" "store_username" : "Ψευδώνυμο" "username" : "Email" "password" : "Wachtwoord" "store_username" : "Weergavenaam" "username" : "E-mail" "password" : "Hasło" "store_username" : "Pseudonim" "username" : "Email" "password" : "পাসওয়ার্ড" "store_username" : "ডাকনাম" "username" : "ইমেইল" "username" : "Email" "password" : "패스워드" "store_username" : "별명" "username" : "이메일" "password" : "Parolă" "store_username" : "Pseudonim" "username" : "E-mail" "store_username" : "Pseudo" "username" : "Email" "password" : "पासवर्ड" "username" : "इमेल" "password" : "Lozinka" "store_username" : "Nadimak" "username" : "E-pošta" "password" : "Şifre" "username" : "E-posta" "password" : "Contraseña" "store_username" : "Apodo" "username" : "E-mail" "username" : "E-mel" "password" : "Password" "store_username" : "Nickname" "password" : "Palavra-passe" "store_username" : "Alcunha" "username" : "E-mail" "password" : "Jelszó" "store_username" : "Becenév" "username" : "E-mail" "password" : "Пароль" "store_username" : "Никнейм" "username" : "E-mail" "password" : "လျှို့ဝှက်စကားလုံး" "store_username" : "အမည္ေျပာင္" "username" : "အီးမေးလ်" "com_facebook_device_auth_instructions" : "请访问<b>facebook.com/device</b>并输入以上验证码。" "nothing_inserted_user" : "请插入昵称和照片(可选)以创建资料" "password" : "密码" "recover_password" : "找回密码" "store_username" : "昵称" "username" : "电子邮件" "password" : "Palavra-passe" "store_username" : "Apelido" "username" : "E-mail" "com_facebook_device_auth_instructions" : "前往<b>facebook.com/device</b>,並輸入上方顯示的代碼。" "password" : "密碼" "recover_password" : "尋回您的密碼" "store_username" : "Nickname" "username" : "電子郵件" "com_facebook_device_auth_instructions" : "前往<b>facebook.com/device</b>,並輸入上方顯示的代碼。" cAajgxHlj7GTSEIzIYIQxmEloOSoJq7VOaxWHfv72QM= a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18= 308205653082034ca00302010202044df76b53300d06092a864886f70d01010505003073310b30090603550406130270743110300e06035504081307556e6b6e6f776e310f300d060355040713064c6973626f6131153013060355040a130c4361697861204d61676963613110300e060355040b1307556e6b6e6f776e311830160603550403130f4475617274652053696c76656972613020170d3131303631343134303831395a180f32303933303830323134303831395a3073310b30090603550406130270743110300e06035504081307556e6b6e6f776e310f300d060355040713064c6973626f6131153013060355040a130c4361697861204d61676963613110300e060355040b1307556e6b6e6f776e311830160603550403130f4475617274652053696c766569726130820222300d06092a864886f70d01010105000382020f003082020a02820201026cfe7512fa0c40520971ee83e227208e072a1e1962a4fd0cd5c709e33dc45ce856e9ddc2b9a918394e96ec462d5fea2db81c443b9dbedd75a1031a1f1593b86eef83302f9ecdc0dfd227a3e11ccedb056e58c79b9177dbefba122a390dac88a90a317cb55a9171ab428b46c2e29b5d7fef2e823f5985b9c165a1edba7c82b4f8d5e3aa346996019cb8b7bcc768f5fdae15975add5e53c1fc022e4c99dababf3a80c5a09680ba4b8889cc4399940d92d11c289268d3f2671b98f871964f21c5870d9a1c72c8fbea65a637a06643f246e733fff37b7db4020fd2b6e7343fdbac2ddd20f8a48710d944d8f76432a3225f72c6a50c4e76247fb9256f294eeb9e24080ad28094fbfcfa6e4b5a85d652b1c5d967b39ee1272955a134a0ff1e89bb01f98d710204c72ca4c9dd44ecdd81358a8ef920fa371edd1bfc097c81678aa31b059b9218eba5c0ed2c209bd799a3ecab19e5e3b0e3d18029bf156b37e091969b4e5ae5024475b038b4d841e0e88580fd433154f606f1f7c14527f00509dd7448911e1ec44cb1e94f7dce59459e95438c4a245103d14fff047f97d14bf38f1802d84727b0f3aa98e02e8840892c629e303f76965e186de1d92263ec17e35aa224c33856d59095cf9195042ebfb5fd4703ef8add7ccf923640f266c22e432232f5c6b0873d99ebd509f9e66a77506eabef04ae1d9cf5edb40e13bc1cff39917da8b70203010001300d06092a864886f70d010105050003820202000069a29624d30983fdec4c4bf685f2f479214fda52e272a74ae8aee8bc7aae441ba79977cdd251cf5b21c56ee631dd1e17da28a2bd87d1190b4c1cc440140251e38af40aa694e6d3965c31b36ade9deccde0ca403639031f44f42e395b575a125cd210fd54e9ac760af1ed72c7b91f8f771074f6cafe0d28ab840510ee98a46eb84225be218ff6f90d036f47ec2e7dbfa067e9498cc633e5cab354ab86013b4d8047312643cdfbb6b3654dc26a87af0f4d83b2b0c6ad28d026483788daeda241c8e2631311e0e0d48c6f9284904cc4df114336c207e4c4f468f80f82f2d6917d8ec6b9e63fa2a0f126f668f8220667c92d26d55b5da7a4144b8693c0dec479a3c63b1d43eb96868eac1cb786e2f4b327bad553fc9ffe2dada3ab11bd6b1d7a623a92e821192b0dbcdabf0e4c361561bb5abb970d11e477050d56957fc8961106d2aaf1f209cbdde733a7a6e0577fd35d32f048e887b0e92c9415871e5b0d7458fe682256494b6c9443d04a076842d56374ee4c184a5c64a71c6818eafaa6dcbd66aae917907080d4895b7b0c941a4fae00be891666c0bdeb8b9331d0ff61d7ec2c26b80156aa64263e925dc9d84279bdb1e27e0403b57c14a1b2647a98c858ee20c92b967fb1eb963147fe390958e7c914fce69e1e2eb06139279b70a8eeabe99500ddf04223c3343e5c9b2722635856c65593aae9d2dbf3da704f79e8145f008e 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 df6b721c8b4d3b6eb44c861d4415007e5a35fc95 0ccb1b4967115d54d18138b4f6c7c9ca 305bdd41-271f-4618-a1ea-0793da9e04ef UZJDjsNp1+4M5x9cbbdflB779y5YRBcV6Z6rBMLIrO4= bfce038c5ef7f0c99d0a6317a549edf0 ace60f6352f6dd9289843b5b0b2ab3d4 3ad378b027fe45aa8bfbc5bacf56344e 919afcc635fd11ea817c025656b09b22 3CA30A86d04e65E6E388922deCe3eBD0F100F5d0 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 uUwZgwDOxcBXrQcntwu+kYFpkiVkOaezL0WYEZ3anJc= jtcoe3puh462k3igthcrkmi918i30edh47c1tksma0pe1uqmuhc2o7i3g7ansalg Wd8xe/qfTwq3ylFNd3IpaqLHZbh2ZNCLluVzmeNkcpw= E112a13984c2eF19DBeE98E3eDa79e90DB51f0e6 JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg= cc2751449a350f668590264ed76692694a80308a 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 9b8f518b086098de3d77736f9458a3d2f6f95a37 1b2ec33c1a5a485bb7b111d41f17e0f8 SVqWumuteCQHvVIaALrOZXuzVVVeS7f4FGxxu6V+es4=
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cm/aptoide/aptoideviews/common/StringUtilsKt.java, line(s) 35,38 cm/aptoide/aptoideviews/downloadprogressview/DownloadProgressView$stateMachine$1.java, line(s) 43,202,328,501,626,753 cm/aptoide/pt/app/view/AppCoinsInfoFragment.java, line(s) 365,368 cm/aptoide/pt/crashreports/CrashReport.java, line(s) 30,44,55 cm/aptoide/pt/editorial/EditorialFragment.java, line(s) 255 cm/aptoide/pt/editorialList/EditorialListFragment.java, line(s) 64 cm/aptoide/pt/home/HomeFragment.java, line(s) 103 cm/aptoide/pt/install/installer/Root.java, line(s) 31,32,42,43,67,68,98,99 cm/aptoide/pt/install/remote/RemoteInstallationSenderManager.java, line(s) 143,150,158,165,173,180,191,201,211,221,52,65,84,107,135,137 cm/aptoide/pt/logger/Logger.java, line(s) 65,89,70,97,102,78,39,58,44,50 cm/aptoide/pt/networking/image/ImageLoader.java, line(s) 91,110,122,142,153,164,175,190,201,243,254,273,284,295,317,330,333,344,355,370,381,400 cm/aptoide/pt/notification/NotificationWorker.java, line(s) 43 cm/aptoide/pt/root/RootShell.java, line(s) 310,308,306,313 cm/aptoide/pt/root/containers/RootClass.java, line(s) 43,46,87,93 cm/aptoide/pt/toolbox/ToolboxContentProvider.java, line(s) 144 com/airbnb/epoxy/i.java, line(s) 23 com/airbnb/epoxy/p.java, line(s) 15,21,27,33,43 com/airbnb/lottie/LottieAnimationView.java, line(s) 365 com/airbnb/lottie/c.java, line(s) 31,60 com/airbnb/lottie/d.java, line(s) 88 com/airbnb/lottie/e.java, line(s) 89 com/airbnb/lottie/f.java, line(s) 391,422,571 com/airbnb/lottie/l.java, line(s) 165 com/airbnb/lottie/r/a.java, line(s) 22 com/airbnb/lottie/r/b.java, line(s) 32,74,87 com/airbnb/lottie/u/c.java, line(s) 98 com/airbnb/lottie/u/g.java, line(s) 184 com/airbnb/lottie/u/u.java, line(s) 46 com/asf/appcoins/sdk/core/util/LogInterceptor.java, line(s) 138 com/bumptech/glide/c.java, line(s) 272,281,191,271,278,192 com/bumptech/glide/l/d.java, line(s) 64,214,63,213 com/bumptech/glide/l/e.java, line(s) 352,369,384,350,367,382 com/bumptech/glide/load/engine/GlideException.java, line(s) 179 com/bumptech/glide/load/engine/a0/e.java, line(s) 35,45,59,65,36,60,46,66 com/bumptech/glide/load/engine/a0/i.java, line(s) 113,97 com/bumptech/glide/load/engine/b0/a.java, line(s) 85,82 com/bumptech/glide/load/engine/b0/b.java, line(s) 37,36 com/bumptech/glide/load/engine/h.java, line(s) 169,508,567 com/bumptech/glide/load/engine/i.java, line(s) 55,56 com/bumptech/glide/load/engine/k.java, line(s) 12,206 com/bumptech/glide/load/engine/y.java, line(s) 74,75 com/bumptech/glide/load/engine/z/j.java, line(s) 143,172,144,173 com/bumptech/glide/load/engine/z/k.java, line(s) 63,190,199,223,62,72,113,120,157,189,198,212,222,73,114,121,167,213 com/bumptech/glide/load/m/b.java, line(s) 27,26 com/bumptech/glide/load/m/j.java, line(s) 53,161,52,56,61,68,160,65,69 com/bumptech/glide/load/m/l.java, line(s) 29,28 com/bumptech/glide/load/m/o/c.java, line(s) 98,97 com/bumptech/glide/load/m/o/e.java, line(s) 69,68 com/bumptech/glide/load/n/c.java, line(s) 15,14 com/bumptech/glide/load/n/d.java, line(s) 41,40 com/bumptech/glide/load/n/f.java, line(s) 120,119 com/bumptech/glide/load/n/s.java, line(s) 75,76 com/bumptech/glide/load/n/t.java, line(s) 35,34 com/bumptech/glide/load/o/c/c.java, line(s) 46,45,62,63 com/bumptech/glide/load/o/c/j.java, line(s) 178,188,200,265,272,288,295,326,344,348,353,362,365,370,177,187,199,264,271,287,294,325,343,347,352,361,364,369 com/bumptech/glide/load/o/c/l.java, line(s) 218,337,372,176,192,217,297,336,371,177,298,395 com/bumptech/glide/load/o/c/m.java, line(s) 42,47,43,48 com/bumptech/glide/load/o/c/q.java, line(s) 40,41 com/bumptech/glide/load/o/c/w.java, line(s) 92,97,152,161,168,93,98,153,162,169,170,171,175 com/bumptech/glide/load/o/c/y.java, line(s) 131,130 com/bumptech/glide/load/o/g/a.java, line(s) 94,99,104,113,95,100,105,114 com/bumptech/glide/load/o/g/d.java, line(s) 20,21 com/bumptech/glide/load/o/g/j.java, line(s) 51,52 com/bumptech/glide/m/e.java, line(s) 30,29,52,87,53,88 com/bumptech/glide/m/f.java, line(s) 11,10 com/bumptech/glide/m/k.java, line(s) 65,66 com/bumptech/glide/m/l.java, line(s) 105,106,114 com/bumptech/glide/m/n.java, line(s) 25,26 com/bumptech/glide/m/o.java, line(s) 65,66 com/bumptech/glide/n/d.java, line(s) 20,27,38,43,19,26,31,37,42,32 com/bumptech/glide/p/j.java, line(s) 410,14,479,443 com/bumptech/glide/p/l/j.java, line(s) 129,242,243,130 com/bumptech/glide/q/a.java, line(s) 40 com/bumptech/glide/r/l/a.java, line(s) 94,95 com/flurry/sdk/a.java, line(s) 65 io/rakam/api/i.java, line(s) 46,20,53,27,34,60 l/a/k/a/a.java, line(s) 73 l/a/o/g.java, line(s) 206,277,316 l/f/b/d.java, line(s) 311 l/f/b/k/f.java, line(s) 158 l/h/e/c.java, line(s) 426,431 l/h/e/e.java, line(s) 44 l/h/e/f.java, line(s) 35,48 l/h/e/g.java, line(s) 48,75 l/h/e/j.java, line(s) 78,81 l/h/e/k.java, line(s) 121 l/h/j/b.java, line(s) 35,45,47,61,64,82,84 l/h/k/b.java, line(s) 16 l/h/l/b.java, line(s) 55 l/h/l/d0.java, line(s) 333,345,352,361 l/h/l/e0/c.java, line(s) 145 l/h/l/f.java, line(s) 18,27 l/h/l/h.java, line(s) 39 l/h/l/v.java, line(s) 829 l/h/l/w.java, line(s) 18,29 l/h/l/y.java, line(s) 23,43,59,81,97,110,125 l/j/a/c.java, line(s) 162 l/l/a/b.java, line(s) 115,151,160,222,230,270,292,337,343,299 l/l/b/c.java, line(s) 72 l/m/a/a.java, line(s) 154,159,166,170,186,196 l/n/a.java, line(s) 81,115,380,382,68,70,75,79,317,338,345,347,356,62,110,126,141,220,274,341,349,353 l/n/b.java, line(s) 53,63,65,93,103,107,109,114,139,161,195,265,267,277,290,99,149,165,181,188,261,269,307 l/o/a/b.java, line(s) 118 l/q/a/c.java, line(s) 32,35,49,25,39 l/r/a/c.java, line(s) 495,659,672,690 l/s/i0.java, line(s) 99,122 l/s/y.java, line(s) 58,71,100,109,111 l/t/a/a/i.java, line(s) 1043,1046 n/b/a/a/a.java, line(s) 6,12,7,13 n/e/b/b/m/h.java, line(s) 86 n/e/b/b/w/d.java, line(s) 131,169 n/e/b/b/x/b.java, line(s) 60 n/e/b/b/z/g.java, line(s) 717 n/f/a/a/a.java, line(s) 52,81,110,129,142,166,208,224,250,276 q/b/g/a.java, line(s) 51,56,61 q/b/g/b.java, line(s) 27,49,64,69,86,117,46,103,52 q/b/g/d/a/a.java, line(s) 181,49,70,75,81,95,104,109,117,135,151,160,184,187,203,221,275,285,298,316,329,339,348,424 t/b/g/j.java, line(s) 81,82
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: cm/aptoide/pt/ApplicationModule.java, line(s) 484,874,970,1112,1185,1343,1531,1791,1919,1925 cm/aptoide/pt/abtesting/ABTestServiceProvider.java, line(s) 26,26 cm/aptoide/pt/dataprovider/WebService.java, line(s) 80,80 com/aptoide/authentication/network/RemoteAuthenticationService.java, line(s) 107,107,111 com/asf/appcoins/sdk/contractproxy/AppCoinsAddressProxyBuilder.java, line(s) 11,11 com/flurry/sdk/l1.java, line(s) 106,84,82,82
安全 此应用程序使用Safety Net API。
此应用程序使用Safety Net API。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#safetynet Files: cm/aptoide/pt/analytics/FirstLaunchAnalytics.java, line(s) 15
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: q/b/g/d/a/a.java, line(s) 214,217,217,217,217,217,217