移动应用安全检测报告: S2021-167 v1.0

安全基线评分


安全基线评分 52/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

1

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 2
中危安全漏洞 14
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 Activity (com.defmon.life.views.OneDPActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危安全漏洞 Activity (net.shsol.tek.found.phone.DialerActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Broadcast Receiver (net.shsol.tek.cast.CallListener) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.RECEIVE_BOOT_COMPLETED [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Activity (net.shsol.tek.found.phone.DialerActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危安全漏洞 Service (net.shsol.tek.found.phone.CallServ) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_INCALL_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 高优先级的Intent (2147483647) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
net/shsol/tek/tools/l.java, line(s) 70

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
a/c/a/a/f/b.java, line(s) 21
a/c/a/a/g/g.java, line(s) 7
a/d/b/a/a.java, line(s) 7
a/d/b/b/a/c.java, line(s) 5
b/a/j/n.java, line(s) 3
e/k0/k/a.java, line(s) 24
e/k0/k/d.java, line(s) 10
e/z.java, line(s) 16

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
net/shsol/tek/views/MainActivitys.java, line(s) 174,173

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
a/c/a/a/d.java, line(s) 68
a/d/b/d/a.java, line(s) 25

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
b/a/n/h/k.java, line(s) 71

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
d/b/a/b/a.java, line(s) 6,7,42,109,144

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
b/a/g/d/a/a.java, line(s) 229,252,313

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
a6190c13118f4cf2846e787fc492c0a6

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/c/a/a/a.java, line(s) 17,19,28
a/c/a/a/e/i.java, line(s) 44,83
a/c/a/a/f/b.java, line(s) 73,144,160,168,176,209,302,330,364,389,405,412,418,454,523,553,587,632,649,651,141,206,386,431,451,561,573,589,657,257,350,408,377,422
a/c/a/a/f/c.java, line(s) 88
a/c/a/a/g/g.java, line(s) 16,28,38,46,77,84,89,90,94,95,106,108,110,115,117,119,124,131
a/d/b/a/a.java, line(s) 74,90
a/d/b/a/b.java, line(s) 19
a/d/b/a/c.java, line(s) 26,54,35
a/d/b/b/b/b.java, line(s) 29
a/d/b/b/b/c.java, line(s) 29,64,45
a/d/b/c/b.java, line(s) 321,78,81,195,202,221,227,233,253,259,328
a/d/b/c/e.java, line(s) 77,128,166
a/d/b/c/f.java, line(s) 56,43,91,101
a/d/b/d/d.java, line(s) 14
b/a/f.java, line(s) 52
b/a/g/a.java, line(s) 59,61,68
b/a/g/b.java, line(s) 24,33,71,85,89,100,55,68,74
b/a/g/d/a/a.java, line(s) 216,67,85,94,103,125,130,135,147,170,186,195,218,232,242,255,265,283,307,326
com/peater/alziplibrary/view/LightOpenGlView.java, line(s) 112
com/peater/alziplibrary/view/OpenGlView.java, line(s) 133
com/peater/alziplibrary/view/OpenGlViewBase.java, line(s) 116
com/robert/encoder/d/a.java, line(s) 97,103,118,33,39,62,67,115
com/robert/encoder/e/a/a.java, line(s) 21,32,27,38
com/robert/encoder/e/a/d.java, line(s) 63,68,106,147
com/robert/encoder/e/b/a.java, line(s) 64
com/robert/encoder/e/c/a.java, line(s) 64,73,80,86,134,173,234,247,261,274,321,76,241,254
com/robert/encoder/f/b/a.java, line(s) 30,55,67,68,115,119
com/robert/encoder/g/c.java, line(s) 67,215,223,258,262,55,75,84,234,254,340,356,362,364
d/a/a/c.java, line(s) 14
d/a/a/f.java, line(s) 485,144,198,603,633,651,672
d/b/a/b/a.java, line(s) 43
g/a/g/h.java, line(s) 55,59,60
net/shsol/tek/cast/a.java, line(s) 53,57
net/shsol/tek/found/phone/DialerActivity.java, line(s) 213,278,555,582,622
net/shsol/tek/found/phone/notify/NotiServ.java, line(s) 143
net/shsol/tek/found/phone/view/Keyboard.java, line(s) 44
net/shsol/tek/lie/LSServ.java, line(s) 231
net/shsol/tek/lie/SoundServ.java, line(s) 42,47,52,57,62,67,72,77,82,87,92,97,197
net/shsol/tek/tools/NetStateChangeReceiver.java, line(s) 30,35
net/shsol/tek/tools/e.java, line(s) 969,83,540,545,569,574,585,590,619,624,849,1056
net/shsol/tek/tools/j.java, line(s) 55
net/shsol/tek/tools/k.java, line(s) 31
net/shsol/tek/tools/l.java, line(s) 69,82
net/shsol/tek/tools/p.java, line(s) 45

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
e/k0/h/e.java, line(s) 113,111,110,110
e/k0/h/f.java, line(s) 190,188,187,187

已通过安全项 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
b/a/g/d/a/a.java, line(s) 319,322,322,322,322,322,322

综合安全基线评分: ( S2021-167 1.0)