安全分析报告: Youtube plugin v40.66.72.42

安全分数


安全分数 41/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 6
中危 21
信息 1
安全 1
关注 0

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 Activity (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.omhysmndikomszxabinvxuuwqeodvjulurmxoetaxoizwdmyyh14_CA) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb72_SCA) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (css.contains.MainActive) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 WebView域控制不严格漏洞 

WebView域控制不严格漏洞


Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/gsdwykjeteoksltryfurqvoxymultqwfsrpibaouehdiwbmnxs31.java, line(s) 328,325,326,327,328,329,330,331
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/ltyxzwnmeonjvzhfwnnwmbwgdjpwdnsglowmmtrqomoffjzrsu4/odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb70_WBV.java, line(s) 191,188,189,190,191,192,193,194

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bcleklldrpelxftvressewqsxvtfqisthznkwackhdtswkchpe25.java, line(s) 96,12,13

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 4.1-4.1.2, [minSdk=16]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.vvzaidrczndvjufmudjbpfudajnfxqibfdlgoojhxayenuszxj20) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.omhysmndikomszxabinvxuuwqeodvjulurmxoetaxoizwdmyyh14_CA) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity-Alias (css.contains.MainActive) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity-Alias (css.contains.costm) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Service (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb7_WKJ) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.SRodhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb74B) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Service (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb72) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb7) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.omhysmndikomszxabinvxuuwqeodvjulurmxoetaxoizwdmyyh14_RC) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb74) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.ianbrlnlzizszfkaztiqouywscqdvmrdrfdovxkgrymrurcwsv33) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.uehaivcakrsbgyjwmgiihucgxphjzyhhptiokizubybplfdcyd5.odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb7_AR) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (css.contains.edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2.bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3.Slggdaqlzkiugpehbtqjuxlgarosehjucsjhwzyvjpkpxqahder6IME) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_INPUT_METHOD [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 高优先级的Intent (999) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bcleklldrpelxftvressewqsxvtfqisthznkwackhdtswkchpe25.java, line(s) 95,91

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/e.java, line(s) 20,41,93
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb71.java, line(s) 363,380,412,423,519,520,521,522
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb72.java, line(s) 717,726,1059,1244,1326,1343
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/ltyxzwnmeonjvzhfwnnwmbwgdjpwdnsglowmmtrqomoffjzrsu4/a.java, line(s) 35,43
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/ltyxzwnmeonjvzhfwnnwmbwgdjpwdnsglowmmtrqomoffjzrsu4/c.java, line(s) 80,80
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/omhysmndikomszxabinvxuuwqeodvjulurmxoetaxoizwdmyyh14.java, line(s) 470
q/a.java, line(s) 37,43

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/ltyxzwnmeonjvzhfwnnwmbwgdjpwdnsglowmmtrqomoffjzrsu4/e.java, line(s) 43

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
谷歌地图的 "com.google.android.maps.v2.API_KEY" : "AIzaSyCGOJbGQ95SWrXxl8wk-_cRQZcJl42bvDU"
"google_api_key" : "AIzaSyCGOJbGQ95SWrXxl8wk-_cRQZcJl42bvDU"
"google_crash_reporting_api_key" : "AIzaSyCGOJbGQ95SWrXxl8wk-_cRQZcJl42bvDU"
"drawsdoexlangkshadowe711" : "oxidenscaxjpxmpmooomxsybtjlrab712"
"generatedauthorityv949" : "tiffanycuoetcohdlrchyxywamjmlxsf950"
aHR0cDovL3lvdGhlbWVzLnlvdXNlZmFsYmFzaGEuY29tL3NjcmVlbnMv

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/Slggdaqlzkiugpehbtqjuxlgarosehjucsjhwzyvjpkpxqahder6IME.java, line(s) 320
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/d.java, line(s) 22
css/contains/edmwetyobeekowsiqodvakdnocjumuvmqftvbhiokpawzmpear2/bjxkzflzslmkakkfubyjdvarhzmsbscrnvsynscatbrkzlkech3/odhiaoprlwlhrqxgcwngvktojfpdqcciqsivycnuwnhckdfoqb72.java, line(s) 458,2026

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Youtube plugin 40.66.72.42)