安全分析报告: Slot Machine+ v1.3

安全分数


安全分数 38/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 4
中危 14
信息 1
安全 0
关注 0

高危 程序可被任意调试 

[android:debuggable=true]
应用可调试标签被开启,这使得逆向工程师更容易将调试器挂接到应用程序上。这允许导出堆栈跟踪和访问调试助手类。

高危 使用弱加密算法 

使用弱加密算法
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/apostek/SlotMachine/paid/game/e/p.java, line(s) 28,44

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/apostek/SlotMachine/paid/LeaderboardView.java, line(s) 366
com/apostek/library/ConfigLibrary.java, line(s) 61

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/apostek/SlotMachine/paid/game/h.java, line(s) 67,11
com/qwapi/adclient/android/AdRequestor.java, line(s) 243,12

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (.PlayGame) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (.ConnectivityReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.apostek.SlotMachine.paid.game.f) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 高优先级的Intent (65535) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 IP地址泄露 

IP地址泄露


Files:
com/apostek/SlotMachine/paid/game/e/q.java, line(s) 96
com/apostek/SlotMachine/paid/game/h.java, line(s) 141

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/admob/android/ads/AdManager.java, line(s) 192
com/adwhirl/AdWhirlManager.java, line(s) 54
com/apostek/library/Generic.java, line(s) 14

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/apostek/SlotMachine/paid/game/a/d.java, line(s) 39
com/apostek/SlotMachine/paid/game/e/k.java, line(s) 62
com/apostek/SlotMachine/paid/game/e/n.java, line(s) 136

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/adwhirl/AdWhirlManager.java, line(s) 25

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/qwapi/adclient/android/db/DBHelper.java, line(s) 7,8,89,90,105,106

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/apostek/SlotMachine/paid/game/h.java, line(s) 56,76

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/apostek/SlotMachine/paid/game/h.java, line(s) 30,31,32

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
b33eb94ffbce48bd8301a5476039cb63
3d1d1275c2d649729bd43fa5a50ee936
0fed77fcbc814d63b005df384f678f0f
d9637d60e1df40548f190262369018a2

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/admob/android/ads/AdManager.java, line(s) 72,178,196,211,231,246,250,254,263,293,52,118,45,71,76,84,91,117,130,172,175,177,210,230,245,249,253,262,292,85,92
com/admob/android/ads/AdView.java, line(s) 208,247,258,267,372,399,420,333,427,610,201,207,246,257,266,358,371,387,398,417,419,426,609,202,203,388,48,55,134,196,231,238,278,347,350,445,452,500,505
com/admob/android/ads/a.java, line(s) 27,40,26
com/admob/android/ads/d.java, line(s) 235,242,296,328,689,737,755,778,807,907,346,379,506,536,550,604,652,950,955,979,1013,1164,1189,1213,1301,1309,222,225,234,241,295,299,303,327,345,378,505,535,549,603,651,688,721,739,777,806,906,949,954,978,1012,1163,1188,1212,1300,1308
com/admob/android/ads/g.java, line(s) 113,344,112,169,181,229,276,343,404,170,182,230,277,405,369
com/admob/android/ads/i.java, line(s) 197,47,110,196,48,111,91,138
com/admob/android/ads/o.java, line(s) 86,101,85,100
com/admob/android/ads/r.java, line(s) 66,65
com/admob/android/ads/t.java, line(s) 29,30,27
com/admob/android/ads/u.java, line(s) 41,51,57,80,161,164,40,50,56,63,66,73,79,110,111,160,61,172
com/admob/android/ads/view/AdMobWebView.java, line(s) 60,66,72,92
com/adwhirl/AdWhirlLayout.java, line(s) 111,133,147,169,189,212,71,106,136,179,181,199,201,99,222
com/adwhirl/AdWhirlManager.java, line(s) 52,61,70,135,156,211,289,73,143,145,164,166,184,193,198,203,217,239,280,300,312,47,62,83,273
com/adwhirl/adapters/AdMobAdapter.java, line(s) 39,50
com/adwhirl/adapters/AdWhirlAdapter.java, line(s) 59
com/adwhirl/adapters/CustomAdapter.java, line(s) 50,64,107
com/adwhirl/adapters/EventAdapter.java, line(s) 16,24,27
com/adwhirl/adapters/GenericAdapter.java, line(s) 15,19
com/adwhirl/adapters/QuattroAdapter.java, line(s) 48,57
com/apostek/SlotMachine/paid/ConnectivityReceiver.java, line(s) 12
com/apostek/SlotMachine/paid/LeaderboardView.java, line(s) 329
com/apostek/SlotMachine/paid/PlayGame.java, line(s) 872,1235,1545,1549,389,841,863
com/flurry/android/Flog.java, line(s) 30,37,44,51,23,58
com/qwapi/adclient/android/AdApiRegistration.java, line(s) 39
com/qwapi/adclient/android/AdRequestor.java, line(s) 155,164
com/qwapi/adclient/android/AdRequestorEventsListener.java, line(s) 13,18,23,28,33
com/qwapi/adclient/android/DeviceContext.java, line(s) 43,44,45,46,47,52,58,59,122,123,126
com/qwapi/adclient/android/data/Ad.java, line(s) 225
com/qwapi/adclient/android/data/AdResponse.java, line(s) 54
com/qwapi/adclient/android/data/Image.java, line(s) 37
com/qwapi/adclient/android/db/DBHelper.java, line(s) 87,98,104,194,343,92,529,157,267,384
com/qwapi/adclient/android/requestparams/AdRequestParams.java, line(s) 97
com/qwapi/adclient/android/service/AdXmlResponseConverter.java, line(s) 152,180,281
com/qwapi/adclient/android/service/BatchAdRequestService.java, line(s) 75,50
com/qwapi/adclient/android/service/SingleAdRequestService.java, line(s) 27,31,39
com/qwapi/adclient/android/utils/Utils.java, line(s) 74,92,220
com/qwapi/adclient/android/view/AdExpandableView.java, line(s) 66,70,121
com/qwapi/adclient/android/view/AdInterstitialView.java, line(s) 44
com/qwapi/adclient/android/view/AdTextView.java, line(s) 31
com/qwapi/adclient/android/view/AdWebView.java, line(s) 73,32
com/qwapi/adclient/android/view/QWAdView.java, line(s) 111,191,207,249,261,792,812,83,107,116,123,129,139,149,163,171,177,186,202,237,245,257,269,280,746,158,678

安全评分: ( Slot Machine+ 1.3)