安全分析报告: 大转盘小决定 v2.1.1

安全分数


安全分数 41/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 2
中危 10
信息 2
安全 0
关注 8

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
e2/r.java, line(s) 202,262

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/leandom/dice/activity/WebActivity.java, line(s) 45,8

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (com.ss.android.socialbase.downloader.downloader.IndependentProcessDownloadService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
e2/d.java, line(s) 845
i1/b.java, line(s) 72

中危 IP地址泄露 

IP地址泄露


Files:
com/ss/android/download/api/constant/BaseConstants.java, line(s) 36
com/ss/android/downloadlib/a/xl.java, line(s) 400

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/ss/android/downloadlib/a/i.java, line(s) 448,83,498
com/ss/android/downloadlib/addownload/n.java, line(s) 253,255
com/ss/android/downloadlib/addownload/xl.java, line(s) 287

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/jg/ids/i/i.java, line(s) 145
o2/a.java, line(s) 89
x1/f.java, line(s) 45

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/leandom/dice/activity/BombActivity.java, line(s) 20
com/leandom/dice/activity/FlipCoinActivity.java, line(s) 17
com/leandom/dice/fragment/RandomNumFragment.java, line(s) 27
com/leandom/dice/fragment/ShakeDiceFragment.java, line(s) 22
com/leandom/dice/view/FingertipView.java, line(s) 31
com/leandom/dice/view/TurntableView.java, line(s) 40
l1/h.java, line(s) 11
m0/a.java, line(s) 6
p0/f.java, line(s) 6
z0/e.java, line(s) 10

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/ss/android/downloadlib/b/bk.java, line(s) 4,5,20
j2/a.java, line(s) 4,5,15
m2/d.java, line(s) 4,16

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
f/q.java, line(s) 94

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/a.java, line(s) 304
a0/a.java, line(s) 41,44
b/d.java, line(s) 172,202,171,201
b/e.java, line(s) 108,128,145,107,127,144
com/leandom/dice/fragment/ShakeDiceFragment.java, line(s) 100
com/leandom/dice/view/FingertipView.java, line(s) 329,340,364
com/leandom/dice/view/ShakeDiceView.java, line(s) 84,153
com/leandom/dice/view/TurntableView.java, line(s) 268,371
d/b.java, line(s) 62,61
d/i.java, line(s) 71,137,70,74,80,87,134,84,90
d/k.java, line(s) 43,42
e/a.java, line(s) 92,91
e2/r.java, line(s) 180,187,193,206,266,165
f/j.java, line(s) 622,251,306,621,448
f/k.java, line(s) 139,140
f/m.java, line(s) 22,173
f/r.java, line(s) 220
f/z.java, line(s) 87,88
f2/g.java, line(s) 10,15
g/h.java, line(s) 156,193,160,198
g/i.java, line(s) 59,63,74,174,218,58,62,73,123,131,138,169,186,205,217,124,132,158,191,206
h/e.java, line(s) 50,82,94,104,51,95,83,107
h/j.java, line(s) 91,76
i/a.java, line(s) 79,78
i2/a.java, line(s) 79
i2/b.java, line(s) 29,30
j/c.java, line(s) 17,16
j/d.java, line(s) 37,36
j/f.java, line(s) 95,94
j/t.java, line(s) 89,90
j/u.java, line(s) 40,39
j2/a.java, line(s) 24
m/h.java, line(s) 22,27,23,30
m/i.java, line(s) 199,223,241,273,279,198,222,240,250,253,256,263,266,278
m/l.java, line(s) 55,65,61,71
m/p.java, line(s) 125,126
m/s.java, line(s) 82,91,98,83,92,99,100,101,105
n0/f.java, line(s) 30,52,61
n0/g.java, line(s) 48
q/a.java, line(s) 67,154,161,168,68,157,164,171
q/c.java, line(s) 18,19
q/h.java, line(s) 46,47
q2/a.java, line(s) 25
r2/a.java, line(s) 30,32
r2/b.java, line(s) 21,32,40,50,59,71
r2/c.java, line(s) 83
r2/d.java, line(s) 27
s/e.java, line(s) 42,39,71,92,72,93
s/j.java, line(s) 72,73
s/k.java, line(s) 232,233,244
v/g.java, line(s) 506,23,370,379
w/g.java, line(s) 52,98,99,53

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/leandom/dice/fragment/RandomNumFragment.java, line(s) 4,160

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield-b.com) 通信。 

{'ip': '58.222.47.207', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (paixiangxian.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

安全评分: ( 大转盘小决定 2.1.1)