安全分析报告:
安全分数
安全分数 49/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
3
中危
17
信息
2
安全
2
关注
4
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.suijin.booster.ui.MainActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/suijin/booster/ui/mine/CustomerActivity.java, line(s) 46,44
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.suijin.booster.ui.MainActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.suijin.booster.receiver.ActionListener) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.github.booster.UrlImportActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (com.github.booster.BootReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (androidx.work.impl.background.gcm.WorkManagerGcmService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.gms.permission.BIND_NETWORK_TASK_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Content Provider (com.github.booster.plugin.v2ray.BinaryProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 IP地址泄露
IP地址泄露 Files: com/github/booster/bg/DnsResolverCompat.java, line(s) 164 com/github/booster/bg/VpnService.java, line(s) 277,47,48 com/github/booster/preference/DataStore.java, line(s) 111,111,123 net/sourceforge/jsocks/ProxyServer.java, line(s) 215 net/sourceforge/jsocks/Socks5DatagramSocket.java, line(s) 46 net/sourceforge/jsocks/Socks5Message.java, line(s) 28 net/sourceforge/jsocks/UDPRelayServer.java, line(s) 38 org/xbill/DNS/tools/jnamed.java, line(s) 141
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/allen/library/download/DownloadManager.java, line(s) 15 com/suijin/booster/utils/DialogUtils.java, line(s) 153 com/suijin/booster/utils/DownLoadFileUtils.java, line(s) 74 com/thefinestartist/utils/content/ContextUtil.java, line(s) 183 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 605 com/yalantis/ucrop/util/BitmapUtils.java, line(s) 29 com/yalantis/ucrop/util/FileUtils.java, line(s) 49
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/jg/ids/i/i.java, line(s) 145 com/suijin/booster/utils/DeviceIdUtil.java, line(s) 103 org/xbill/DNS/DNSSEC.java, line(s) 880 org/xbill/DNS/NSEC3Record.java, line(s) 180
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/allen/library/manage/RxUrlManager.java, line(s) 9 com/github/booster/utils/Key.java, line(s) 16,40 com/meituan/android/walle/ChannelReader.java, line(s) 11 com/suijin/booster/app/Constants.java, line(s) 22 com/suijin/booster/utils/AESTools.java, line(s) 15 com/suijin/booster/utils/SpUtils.java, line(s) 9 com/thefinestartist/finestwebview/listeners/BroadCastManager.java, line(s) 15 com/zhy/http/okhttp/builder/PostFormBuilder.java, line(s) 48
中危 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/suijin/booster/utils/XposedUtils.java, line(s) 80
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/allen/library/utils/MD5.java, line(s) 11 com/github/booster/plugin/v2ray/c.java, line(s) 14,38
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: org/xbill/DNS/Header.java, line(s) 5
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度统计的=> "BaiduMobAd_CHANNEL" : "\ 11035" 凭证信息=> "io.fabric.ApiKey" : "123" 百度统计的=> "BaiduMobAd_STAT_ID" : "d619ceecc6" 凭证信息=> "com.google.android.backup.api_key" : "AEdPqrEAAAAI_zVxZthz2HDuz9toTvkYvL0L5GA-OjeUIfBeXg" "sitekey" : "Password" f1aab1fb633378621635c344dbc8ac7b FFFFFFFF00000000FFFFFFFFFFFFFFFFBCE6FAADA7179E84F3B9CAC2FC632551 4FE342E2FE1A7F9B8EE7EB4A7C0F9E162BCE33576B315ECECBB6406837BF51F5 a79ada0ab5ab3b894f420add507b1e8f 328f96313ad78d1bad1480a46b1eae8f 3617DE4A96262C6F5D9E98BF9292DC29F8F41DBD289A147CE9DA3113B5F0B8C00A60B1CE1D7E819D7A431D7C90EA0E5F AA87CA22BE8B05378EB1C71EF320AD746E1D3B628BA79B9859F741E082542A385502F25DBF55296C3A545E3872760AB7 5AC635D8AA3A93E7B3EBBD55769886BC651D06B0CC53B0F63BCE3C3E27D2604B 5f237ef7b4b08b653e8fe437 HqY6yU8f4nO8AeBkq1fcrSOlZmg9h49X 8D91E471E0989CDA27DF505A453F2B7635294F2DDF23E3B122ACC99C9E9F1E14 6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296 6bd62dadf9bb1389bd2827c1d017ff0f B3312FA7E23EE7E4988E056BE3F82D19181D9C6EFE8141120314088F5013875AC656398D8A2ED19D2A85C8EDD3EC2AEF
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/allen/library/http/SSLUtils.java, line(s) 102,125,135 com/allen/library/interceptor/RxHttpLogger.java, line(s) 27 com/github/booster/subscription/SubscriptionService$createProfilesFromSubscription$2.java, line(s) 64 com/nineoldandroids/animation/PropertyValuesHolder.java, line(s) 148,176,222,240,242,259,261,297,299,425,427,515,517 com/previewlibrary/wight/BezierBannerView.java, line(s) 342,352,364 com/suijin/booster/app/App.java, line(s) 203,236,286 com/suijin/booster/ui/MainActivity.java, line(s) 206 com/suijin/booster/ui/booster/BoosterFragment.java, line(s) 1158,1163,806 com/suijin/booster/ui/mine/MineFragment.java, line(s) 83 com/suijin/booster/ui/share/ShareFragment.java, line(s) 60,135,146,151,160,165 com/suijin/booster/ui/share/nine/ShareNineFragment.java, line(s) 61,175,186,191,200,205 com/suijin/booster/ui/welcome/SplashActivity.java, line(s) 157 com/suijin/booster/utils/DialogUtils.java, line(s) 136 com/suijin/booster/utils/Transformer1.java, line(s) 26 com/suijin/booster/widget/SimpleRecycleView.java, line(s) 80,93,103,61 com/tbruyelle/rxpermissions3/RxPermissionsFragment.java, line(s) 88,45 com/thefinestartist/utils/log/LogHelper.java, line(s) 659,668,675,662,656,665,672 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 175 com/yalantis/ucrop/UCropActivity.java, line(s) 144 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 116 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 127,169,212,90,133,154 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 112,52,83 com/yalantis/ucrop/util/EglUtils.java, line(s) 27 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 54,61,72,80,112,122,134,148,162,168,172,177,183,187,292,53,60,71,79,111,121,133,147,161,167,171,176,182,186 com/yalantis/ucrop/view/TransformImageView.java, line(s) 217,234,124,78 com/zhy/http/okhttp/cookie/store/PersistentCookieStore.java, line(s) 141,150,153 com/zhy/http/okhttp/log/LoggerInterceptor.java, line(s) 41,43,44,45,47,50,53,56,58,69,70,71,73,77,79,81,84 com/zhy/http/okhttp/utils/L.java, line(s) 10 kale/ui/view/dialog/EasyDialogListeners.java, line(s) 10,16,22,28 org/greenrobot/eventbus/Logger.java, line(s) 33,38 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 185 org/xbill/DNS/tools/dig.java, line(s) 12,13,18,19,20 org/xbill/DNS/tools/jnamed.java, line(s) 70,131,149,152,160,404,527,546,584,608,614 org/xbill/DNS/tools/lookup.java, line(s) 10,12,14,17,19,21,24,28 org/xbill/DNS/tools/primary.java, line(s) 10,54,59,62,65 org/xbill/DNS/tools/update.java, line(s) 41,68,410,412,414,416,618,620,797,800,803,806,809,812,815,818,821,824,827,830,833,836,839,842,846,849,852,855,858,861,864,867,871,874,877,888 org/xbill/DNS/tools/xfrin.java, line(s) 12,13,68,72,85,87,91,96,98,99,102,104,107,113 uk/co/senab2/photoview2/PhotoViewAttacher.java, line(s) 60 uk/co/senab2/photoview2/log/LoggerDefault.java, line(s) 18,23,48,53,28,33,8,13,38,43
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/suijin/booster/utils/ViewUtils.java, line(s) 4,10 com/thefinestartist/utils/service/ClipboardManagerUtil.java, line(s) 15,24,24,34,34,15
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/allen/library/http/SSLUtils.java, line(s) 133,82,131,131 com/allen/library/retrofit/RetrofitBuilder.java, line(s) 44,43 com/zhy/http/okhttp/https/HttpsUtils.java, line(s) 107,171,42,105,105,169,169
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/suijin/booster/utils/XposedUtils.java, line(s) 110,11,11,11,11,11
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (and.fengchiapp.com) 通信。
{'ip': '34.96.224.30', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (and.dianchictl.com) 通信。
{'ip': '45.132.238.5', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (and.dianchiapp.com) 通信。
{'ip': '45.132.238.3', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (and.fengchictl.com) 通信。
{'ip': '34.150.106.10', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}