安全分析报告:
安全分数
安全分数 49/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
3
中危
5
信息
1
安全
2
关注
0
高危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危 应用程序使用了调试证书进行签名
应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/a3/asmodeus/BuildConfig.java, line(s) 3,4 com/cheat/ninja/BuildConfig.java, line(s) 3,4
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/ayan/ui/LoginActivity.java, line(s) 24 ghost/tD.java, line(s) 77
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ghost/C0469rr.java, line(s) 215
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/cheat/ninja/FloatingService.java, line(s) 545,598 ghost/C0262k.java, line(s) 69 ghost/fC.java, line(s) 320
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/cheat/ninja/ESPView.java, line(s) 24 com/cheat/ninja/ToastUtil.java, line(s) 12 ghost/C0425qa.java, line(s) 14 ghost/iF.java, line(s) 30
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: androtrainer/AddressWriter.java, line(s) 14 androtrainer/MemoryScanner.java, line(s) 45,54,62,70,86,94 androtrainer/Natives.java, line(s) 15 com/cheat/ninja/ESPView.java, line(s) 111,221 com/cheat/ninja/MainActivity.java, line(s) 237 ghost/C0003ad.java, line(s) 21 ghost/C0128ez.java, line(s) 18 ghost/C0191hi.java, line(s) 9 ghost/C0212ic.java, line(s) 49 ghost/C0221im.java, line(s) 36 ghost/C0279kq.java, line(s) 25 ghost/C0363nt.java, line(s) 81 ghost/C0467rp.java, line(s) 429 ghost/C0479sa.java, line(s) 31,58 ghost/ComponentCallbacks2C0257jv.java, line(s) 194,199,201,207,210,225,232,385 ghost/ComponentCallbacks2C0418pu.java, line(s) 57,190 ghost/RunnableC0350ng.java, line(s) 63,141,352 ghost/V.java, line(s) 81,104,118,124,129 ghost/ViewTreeObserverOnPreDrawListenerC0220il.java, line(s) 19 ghost/aC.java, line(s) 29 ghost/aZ.java, line(s) 21 ghost/bA.java, line(s) 35,175 ghost/bH.java, line(s) 30,40,51,83 ghost/bN.java, line(s) 23 ghost/bT.java, line(s) 50,62,69,74 ghost/cH.java, line(s) 143,159,174 ghost/cI.java, line(s) 27 ghost/cN.java, line(s) 38 ghost/cR.java, line(s) 47,57 ghost/cW.java, line(s) 47 ghost/dO.java, line(s) 109 ghost/eY.java, line(s) 36 ghost/fI.java, line(s) 33 ghost/fL.java, line(s) 113 ghost/fQ.java, line(s) 37,43 ghost/iV.java, line(s) 40 ghost/jA.java, line(s) 15 ghost/kY.java, line(s) 55 ghost/kZ.java, line(s) 17 ghost/lK.java, line(s) 31 ghost/lQ.java, line(s) 50,53,59,66,71 ghost/nW.java, line(s) 131 ghost/oI.java, line(s) 107,148 ghost/pD.java, line(s) 21 ghost/pG.java, line(s) 53,70,82,96,136,145,159,161,172,183 ghost/rZ.java, line(s) 21 ghost/tC.java, line(s) 39,43,45,51,115
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: ghost/eG.java, line(s) 95,94,93,93
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。