安全分析报告: 白描证件照 v1.2.1

安全分数


安全分数 45/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 3
中危 29
信息 2
安全 0
关注 13

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/uzero/cn/zhengjianzhao/ui/WebViewActivity.java, line(s) 58,83

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/uzero/cn/zhengjianzhao/ui/WebViewActivity.java, line(s) 207,17,18

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.uzero.cn.zhengjianzhao.MainActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.MakeActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.BeautyActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.SettingActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.SettingLanguageActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.AdvancedFeaturesActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.GiftActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.AppreciateActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.WebViewActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.LoginActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.RegisterActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.UserInfoActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.ui.CleanAccountActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.uzero.cn.zhengjianzhao.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.uzero.cn.zhengjianzhao.wxapi.WXPayEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.uzero.cn.zhengjianzhao.WXAppRegister) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.tencent.mm.plugin.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.sina.weibo.sdk.share.WbShareResultActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (cc.ningstudio.camera.CameraActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (cc.ningstudio.camera.document.CameraActivityDocument) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 IP地址泄露 

IP地址泄露


Files:
com/itextpdf/text/pdf/security/BouncyCastleDigest.java, line(s) 29,35,38,41,32,47,44,50,53
com/itextpdf/text/pdf/security/CertificateInfo.java, line(s) 118,119,120,121,125,126,127,128,129,122,117,123,124,136,135,132
com/itextpdf/text/pdf/security/CertificateVerification.java, line(s) 27,29,29
com/itextpdf/text/pdf/security/DigestAlgorithms.java, line(s) 24,57,58,47,46,48,26,61,62,27,63,64,28,65,66,25,59,60,42,43,44,45,30,69,70,29,67,68,31,71,72,36,37,38,35,33,32,34,49,73
com/itextpdf/text/pdf/security/EncryptionAlgorithms.java, line(s) 23,24,25,26,21,22,17,18,19,16,13,14,15,27
com/itextpdf/text/pdf/security/OCSPVerifier.java, line(s) 32
com/itextpdf/text/pdf/security/PdfPKCS7.java, line(s) 677,151
com/itextpdf/text/pdf/security/SecurityConstants.java, line(s) 12
com/itextpdf/text/pdf/security/SecurityIDs.java, line(s) 16,11,14,12,13,7,10,15,6,4,5

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/itextpdf/text/Version.java, line(s) 22
com/itextpdf/text/pdf/PdfWriter.java, line(s) 720
com/uzero/cn/zhengjianzhao/domain/AliyunOssStsInfo.java, line(s) 84
com/uzero/cn/zhengjianzhao/domain/UserBind.java, line(s) 116

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/itextpdf/text/pdf/PdfEncryption.java, line(s) 353
com/itextpdf/text/pdf/PdfReader.java, line(s) 1269
com/itextpdf/text/pdf/security/LtvVerification.java, line(s) 148
com/itextpdf/text/pdf/security/MakeXmlSignature.java, line(s) 115
com/itextpdf/text/pdf/security/PdfPKCS7.java, line(s) 671,673

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/itextpdf/text/ImgJBIG2.java, line(s) 44
com/itextpdf/text/pdf/PdfEncryption.java, line(s) 58,102
com/itextpdf/text/pdf/PdfSmartCopy.java, line(s) 112,222

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/uzero/cn/zhengjianzhao/BaseActivity.java, line(s) 1109
com/uzero/cn/zhengjianzhao/service/VersionService.java, line(s) 193
com/uzero/cn/zhengjianzhao/ui/BeautyActivity.java, line(s) 502,503

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/itextpdf/text/pdf/PdfStamper.java, line(s) 46

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
友盟统计的=> "UMENG_CHANNEL" : "Zhengjianzhao"
友盟统计的=> "UMENG_MESSAGE_SECRET" : "58827c0e555360abda518a772493e0cc"
友盟统计的=> "UMENG_APPKEY" : "5a0b9bc0a40fa363d2000036"
"user_info_gender_tip_secret" : "Secret"
DQoNCllvdSBhcmUgdXNpbmcgaVRleHQgdW5kZXIgdGhlIEFHUEwuDQoNCklmIHRoaXMgaXMgeW91ciBpbnRlbnRpb24sIHlvdSBoYXZlIHB1Ymxpc2hlZCB5b3VyIG93biBzb3VyY2UgY29kZSBhcyBBR1BMIHNvZnR3YXJlIHRvby4NClBsZWFzZSBsZXQgdXMga25vdyB3aGVyZSB0byBmaW5kIHlvdXIgc291cmNlIGNvZGUgYnkgc2VuZGluZyBhIG1haWwgdG8gYWdwbEBpdGV4dHBkZi5jb20NCldlJ2QgYmUgaG9ub3JlZCB0byBhZGQgaXQgdG8gb3VyIGxpc3Qgb2YgQUdQTCBwcm9qZWN0cyBidWlsdCBvbiB0b3Agb2YgaVRleHQgb3IgaVRleHRTaGFycA0KYW5kIHdlJ2xsIGV4cGxhaW4gaG93IHRvIHJlbW92ZSB0aGlzIG1lc3NhZ2UgZnJvbSB5b3VyIGVycm9yIGxvZ3MuDQoNCklmIHRoaXMgd2Fzbid0IHlvdXIgaW50ZW50aW9uLCB5b3UgYXJlIHByb2JhYmx5IHVzaW5nIGlUZXh0IGluIGEgbm9uLWZyZWUgZW52aXJvbm1lbnQuDQpJbiB0aGlzIGNhc2UsIHBsZWFzZSBjb250YWN0IHVzIGJ5IGZpbGxpbmcgb3V0IHRoaXMgZm9ybTogaHR0cDovL2l0ZXh0cGRmLmNvbS9zYWxlcw0KSWYgeW91IGFyZSBhIGN1c3RvbWVyLCB3ZSdsbCBleHBsYWluIGhvdyB0byBpbnN0YWxsIHlvdXIgbGljZW5zZSBrZXkgdG8gYXZvaWQgdGhpcyBtZXNzYWdlLg0KSWYgeW91J3JlIG5vdCBhIGN1c3RvbWVyLCB3ZSdsbCBleHBsYWluIHRoZSBiZW5lZml0cyBvZiBiZWNvbWluZyBhIGN1c3RvbWVyLg0KDQo=

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cc/ningstudio/camera/CameraActivity.java, line(s) 87
cc/ningstudio/camera/CameraView.java, line(s) 187
cc/ningstudio/camera/document/CameraActivityDocument.java, line(s) 202,502,559,594,614,692,744,774
cc/ningstudio/camera/document/CameraViewDocument.java, line(s) 132,251,847,391,596,624,625,727,853,1165,1178,1192,1245,1320
cc/ningstudio/camera/document/CameraViewDocumentFull.java, line(s) 36,48
cc/ningstudio/camera/document/CameraViewDocumentScreen.java, line(s) 36
com/contrarywind/view/WheelView.java, line(s) 245
com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 208,212,388,392,460
com/huawei/hiai/pdk/aimodel/ModelCoreManager.java, line(s) 30,46,61,69,78,86,95,110,125,135,143,152,160,169,178,192,206,214,223,33,39,55,64,72,81,89,98,104,113,119,128,138,146,155,163,172,182,195,201,209,217,226,232
com/huawei/hiai/pdk/bigreport/ReportCoreManager.java, line(s) 41,55,67,81,95,29,35,49,61,75,89,103
com/huawei/hiai/pdk/cloudstrategy/CloudStrategyManager.java, line(s) 39,53,65,77,94,108,122,134,45,51,59,71,83,91,100,114,128
com/huawei/hiai/pdk/health/HealthCoreManager.java, line(s) 29,83,98,31,40,44,63,74,78,89,93,104,108
com/huawei/hiai/pdk/upgradestrategy/UpgradeStrategyManager.java, line(s) 35,51,67,29,61
com/huawei/hiai/pdk/utils/AppUtil.java, line(s) 139,25,29,34,40,45,50,57,61,66,74,78,84,93,128,132,145,153,161,166,173,180,184,189,197,201,207,212,217,224,228,234,239,244,251,255,260,265
com/huawei/hiai/pdk/utils/HiAILog.java, line(s) 128,281,147,228,47,213,232,220,288,224,236,292
com/huawei/hiai/pdk/utils/SystemPropertiesUtil.java, line(s) 19,27
com/huawei/hiai/pdk/utils/SystemUtil.java, line(s) 65
com/itextpdf/testutils/CompareTool.java, line(s) 754,790,794,796,812,832,834,841,872,874,905,920,922,1038,1046,1059,1067,1109,1120,1127
com/itextpdf/text/log/DefaultCounter.java, line(s) 25
com/itextpdf/text/log/SysoCounter.java, line(s) 17,22
com/itextpdf/text/log/SysoLogger.java, line(s) 34,39,49,59,64,73
com/itextpdf/text/pdf/BarcodePDF417.java, line(s) 693
com/itextpdf/text/pdf/GlyphList.java, line(s) 61
com/itextpdf/text/pdf/PdfCopy.java, line(s) 1438
com/itextpdf/text/pdf/PdfLister.java, line(s) 88
com/itextpdf/text/pdf/Type1Font.java, line(s) 112
com/itextpdf/text/pdf/codec/Base64.java, line(s) 311,414,437,636,727,728,354,363,364
com/itextpdf/text/pdf/fonts/otf/GlyphPositioningTableReader.java, line(s) 40,125,146,157,195
com/itextpdf/text/pdf/fonts/otf/GlyphSubstitutionTableReader.java, line(s) 165
com/itextpdf/text/pdf/hyphenation/HyphenationTree.java, line(s) 125
com/itextpdf/text/pdf/hyphenation/SimplePatternParser.java, line(s) 57,62,67
com/itextpdf/text/pdf/hyphenation/TernaryTree.java, line(s) 319,320,321
com/itextpdf/text/pdf/parser/LocationTextExtractionStrategy.java, line(s) 24,30,31,213
com/itextpdf/text/pdf/parser/PdfContentReaderTool.java, line(s) 92,104,109
com/itextpdf/xmp/XMPMetaFactory.java, line(s) 71
com/koushikdutta/async/http/HybiParser.java, line(s) 199
com/lzy/imagepicker/ui/ImageGridActivity.java, line(s) 89,118,174,304,314,323,331
com/pixelnetica/imagesdk/MetaImage.java, line(s) 167,208,227,237
com/uzero/cn/zhengjianzhao/google/GoogleBillingUtil.java, line(s) 579
com/uzero/cn/zhengjianzhao/widget/PaletteView.java, line(s) 391
com/uzero/cn/zhengjianzhao/wxapi/WXEntryActivity.java, line(s) 56,63,70,75,76,77
com/uzero/cn/zhengjianzhao/wxapi/WXPayEntryActivity.java, line(s) 39,46,51,52,62,68
org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 199

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/uzero/cn/zhengjianzhao/BaseActivity.java, line(s) 6,1069

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.com) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.cn) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aip.baidubce.com) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (service.weibo.com) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zjz.uzero.cn) 通信。 

{'ip': '47.96.23.140', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.sina.com.cn) 通信。 

{'ip': '106.63.15.207', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.weibo.cn) 通信。 

{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (paygate-yf.meituan.com) 通信。 

{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。 

{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpservice.uzero.cn) 通信。 

{'ip': '47.96.23.140', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。 

{'ip': '223.109.148.141', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (baimiao.uzero.cn) 通信。 

{'ip': '47.96.23.140', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

安全评分: ( 白描证件照 1.2.1)