安全分析报告: 시티즌코난 v

安全分数


安全分数 52/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 2
中危 15
信息 2
安全 2
关注 0

高危 已启用远程WebView调试 

已启用远程WebView调试
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/wish/defaultcallservice/activity/MainActivitySJKV.java, line(s) 354,29,30

高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/wish/defaultcallservice/utils/AESUtils.java, line(s) 19,31

中危 Activity (com.wish.defaultcallservice.activity.TestCallActivitySKV) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.wish.defaultcallservice.activity.GoogleActivitySJKV) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.wish.defaultcallservice.activity.ConfirmationIntentWrapperActivitySJKV) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.wish.defaultcallservice.service.AutoServiceSJKV) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.wish.defaultcallservice.service.ShellService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.wish.defaultcallservice.hellodaemon.WakeUpReceiverSKV) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.wish.defaultcallservice.hellodaemon.WakeUpReceiverSKV$WakeUpAutoStartReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.wish.defaultcallservice.hellodaemon.JobSchedulerServiceV) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 高优先级的Intent (1000) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/wish/defaultcallservice/keeplive/config/NotificationUtils.java, line(s) 13
org/jsoup/helper/DataUtil.java, line(s) 14

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/wish/defaultcallservice/BuildConfig.java, line(s) 4,24
com/wish/defaultcallservice/common/Constants.java, line(s) 16
org/jsoup/helper/W3CDom.java, line(s) 45
org/jsoup/nodes/Comment.java, line(s) 7
org/jsoup/nodes/DataNode.java, line(s) 7
org/jsoup/nodes/DocumentType.java, line(s) 11,12,14
org/jsoup/nodes/TextNode.java, line(s) 9

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/wish/defaultcallservice/activity/MainActivitySJKV.java, line(s) 542,794
com/wish/defaultcallservice/async/ApkDownloadAsyncTaskSKV.java, line(s) 59

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
org/junit/rules/TemporaryFolder.java, line(s) 41,79

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/wish/defaultcallservice/utils/Hash.java, line(s) 10

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"str_key_agreement_submit_style" : "AGREEMENT_SUBMIT_STYLE"
MIGeE1ujgHRhlBUVGgLh9oOR7QC0aGxT
8xcAwZ4jhUUjyXz2fBvgmCfRYOd/view
ivB3TZ7pTnxffXWyDruV6nd4LBJWYiw3

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/wish/defaultcallservice/activity/GoogleActivitySJKV.java, line(s) 100,106,115
com/wish/defaultcallservice/activity/InsApkActivitySKV.java, line(s) 99,175,179,184
com/wish/defaultcallservice/activity/MainActivitySJKV.java, line(s) 348,614,648,681,687,704,709,717,751,771,775,780,816,841,858,868,871,885,912,915,1020,1025,1035
com/wish/defaultcallservice/async/ApkDownloadAsyncTaskSKV.java, line(s) 54,67,72
com/wish/defaultcallservice/base/BaseActivitySKV.java, line(s) 96
com/wish/defaultcallservice/hellodaemon/WatchDogServiceSKV.java, line(s) 64,68
com/wish/defaultcallservice/helper/AccessibilityHelperSKV.java, line(s) 219
com/wish/defaultcallservice/service/AutoServiceSJKV.java, line(s) 173,178,265,267,270,272,277,279,320,352
com/wish/defaultcallservice/service/RootlessSAIPIServiceSV.java, line(s) 32,36,39
com/wish/defaultcallservice/service/ShellService.java, line(s) 115
com/wish/defaultcallservice/utils/AESUtils3.java, line(s) 45,140,168,173,235,246,267,278
com/wish/defaultcallservice/utils/IOUtils.java, line(s) 152,192
com/wish/defaultcallservice/utils/Logs.java, line(s) 15,43,23,7,31,51
com/wish/defaultcallservice/utils/PermissionUtils.java, line(s) 101
com/wish/defaultcallservice/utils/SettingUtils.java, line(s) 55
com/wish/defaultcallservice/utils/Utils.java, line(s) 59
junit/runner/BaseTestRunner.java, line(s) 149
junit/runner/Version.java, line(s) 12
junit/textui/TestRunner.java, line(s) 88,112,137
org/jsoup/examples/HtmlToPlainText.java, line(s) 28,32
org/jsoup/examples/ListLinks.java, line(s) 45

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/wish/defaultcallservice/utils/Utils.java, line(s) 7,65

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
org/jsoup/helper/HttpConnection.java, line(s) 1009,967

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( 시티즌코난 )