移动应用安全检测报告: CIM Bank v1.0

安全基线评分


安全基线评分 45/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

1

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 1
中危安全漏洞 10
安全提示信息 1
已通过安全项 0
重点安全关注 0

高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/chartboost/sdk/impl/s3.java, line(s) 93,6,7

中危安全漏洞 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Activity (com.purebuvu.bind.rWLAWdXjfSEwnB) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/intergi/playwiremobile/PMC.java, line(s) 9,13,14,17,20,26
com/intergi/playwiremobile/rendering/PMFullScreenAdActivity.java, line(s) 23
com/intergi/playwiresdk/PWC.java, line(s) 154,139,136,140,143,145,147,149,153
com/intergi/playwiresdk_noncoppa/PWC.java, line(s) 9

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/chartboost/sdk/impl/w1.java, line(s) 19

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/chartboost/sdk/impl/z2.java, line(s) 19,18

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/chartboost/sdk/Analytics.java, line(s) 81,95,104,117,139
com/chartboost/sdk/Chartboost.java, line(s) 49,112
com/chartboost/sdk/ads/Banner.java, line(s) 89
com/chartboost/sdk/ads/Interstitial.java, line(s) 71
com/chartboost/sdk/ads/Rewarded.java, line(s) 71
com/chartboost/sdk/impl/ae.java, line(s) 24,26
com/chartboost/sdk/impl/c.java, line(s) 292
com/chartboost/sdk/impl/c8.java, line(s) 746,764,808,832,1053,1090,1094,1098,1102,1106,1110,948
com/chartboost/sdk/impl/cb.java, line(s) 26
com/chartboost/sdk/impl/d1.java, line(s) 31
com/chartboost/sdk/impl/e1.java, line(s) 84
com/chartboost/sdk/impl/e3.java, line(s) 46
com/chartboost/sdk/impl/ed.java, line(s) 151,175,195,232,239,264,269,279,287,314,329,340,105
com/chartboost/sdk/impl/f3.java, line(s) 135
com/chartboost/sdk/impl/g4.java, line(s) 192
com/chartboost/sdk/impl/g6.java, line(s) 28
com/chartboost/sdk/impl/h0.java, line(s) 485,437,723
com/chartboost/sdk/impl/k6.java, line(s) 28
com/chartboost/sdk/impl/mb.java, line(s) 76,106,148,181,210,265,297,322
com/chartboost/sdk/impl/o0.java, line(s) 85
com/chartboost/sdk/impl/q8.java, line(s) 125
com/chartboost/sdk/impl/qa.java, line(s) 116
com/chartboost/sdk/impl/se.java, line(s) 18,11
com/chartboost/sdk/impl/u2.java, line(s) 54
com/chartboost/sdk/impl/vc.java, line(s) 62,70,73,87
com/chartboost/sdk/impl/w7.java, line(s) 15,23,56,31,39,47
com/chartboost/sdk/impl/y0.java, line(s) 32
com/chartboost/sdk/internal/Networking/NetworkHelper.java, line(s) 15
com/chartboost/sdk/internal/clickthrough/EmbeddedBrowserActivity.java, line(s) 235,286,295
com/chartboost/sdk/view/CBImpressionActivity.java, line(s) 86,234,98
com/intergi/playwiremobile/config/PMConfigBuilder.java, line(s) 22
com/intergi/playwiremobile_vast/VasGamParam.java, line(s) 36
com/intergi/playwiresdk/PWNotifier.java, line(s) 135

综合安全基线评分: ( CIM Bank 1.0)