导航菜单

页面标题

页面副标题

移动应用安全检测报告

应用图标

Axis Rewards v4.12025.4.214244

Android APK 9b4412f2...
49
安全评分

安全基线评分

49/100

中风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

3 高危
13 中危
1 信息
2 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 3
中危安全漏洞 13
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 Activity (com.XssIKiTC.DDEbzjkruw.MainActivity) 易受 StrandHogg 2.0 攻击

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (com.XssIKiTC.DDEbzjkruw.MainAliasActivity) 易受 StrandHogg 2.0 攻击

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/example/fcmexpr/GeZKzTDQQWc4nUoZ.java, line(s) 18

中危安全漏洞 应用已启用明文网络流量

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 应用数据允许备份

[android:allowBackup=true]
该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。

中危安全漏洞 Activity-Alias (com.XssIKiTC.DDEbzjkruw.MainAliasActivity) 未受保护。

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Broadcast Receiver (com.XssIKiTC.DDEbzjkruw.InstallReceiver) 未受保护。

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.KeepAliveJobService) 受权限保护,但应检查权限保护级别。

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.FirebaseMessagingKeepAliveService) 未受保护。

[android:exported=true]
检测到  Service 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Broadcast Receiver (com.example.fcmexpr.keepalive.KeepAliveReceiver) 未受保护。

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
JFQD2mYLkaLzgdHD/x0Gni7EvrVqdno9E.java, line(s) 31
RGPsSp9nAQOJwF8l/XDPzo26GGkWAQzte.java, line(s) 65
com/example/fcmexpr/GeZKzTDQQWc4nUoZ.java, line(s) 19

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
a8rtijgGXEVKL0tc/YdJtSkUd7lPEzhDm.java, line(s) 8,9,67,138,202,363,417,552,564,654
a8rtijgGXEVKL0tc/mGhyRiNHSZPE2UUt.java, line(s) 4,5,135

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
JFQD2mYLkaLzgdHD/Zz1n4mANGrOtnkZ1.java, line(s) 94

中危安全漏洞 此应用可能包含硬编码机密信息

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
"google_app_id" : "1:469967176169:android:d67d8d7454d4439dbc8b78"
"google_crash_reporting_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD

安全提示信息 应用程序记录日志信息,不得记录敏感信息

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
BzQI6XLZjd2mSZXP/EasUkSzVd5fnxha1.java, line(s) 469,497,314,326,333,342,91,110,460
BzQI6XLZjd2mSZXP/LJxmPvTp3UgDa2xY.java, line(s) 53,131
BzQI6XLZjd2mSZXP/P6MOh6fAkUwG0zIu.java, line(s) 43,63,77,91,105,120,129
BzQI6XLZjd2mSZXP/SEdvSukGk0NSnsVD.java, line(s) 903,1016,902
E0pLC7FYZkdSeo4L/LqzzjROktB5TJqnt.java, line(s) 26,33,25,32
E0pLC7FYZkdSeo4L/RvjDlPuydi9nbh9y.java, line(s) 16,13,13
E0pLC7FYZkdSeo4L/T71dCZexxBq49haq.java, line(s) 35,112,257,34,111,155,194,223,239,256,270,156,195,224,240,271,42,184
E0pLC7FYZkdSeo4L/XDPzo26GGkWAQzte.java, line(s) 47,29,68
E0pLC7FYZkdSeo4L/Ywu6NQ46SK6wBdXr.java, line(s) 23
E0pLC7FYZkdSeo4L/Zz1n4mANGrOtnkZ1.java, line(s) 109,122,143,213,248,263,108,121,142,212,247,262,139,159,171,228,270,291
E0pLC7FYZkdSeo4L/jtWl7yoiWNij8kUb.java, line(s) 53,52
E0pLC7FYZkdSeo4L/x0Gni7EvrVqdno9E.java, line(s) 136,149,107,110
EyHZOr1iRtA0mnbC/RvjDlPuydi9nbh9y.java, line(s) 37,44,47,55,92,97,102,107,112
F2UZymkXPsaMw7ah/x0Gni7EvrVqdno9E.java, line(s) 38
I60NkTZNkUGXNB82/GeZKzTDQQWc4nUoZ.java, line(s) 22,50,15,14,21,28,42,43,49,29
IgpVpHuaW08yezuP/Vz3rbtb7WUmIb2OE.java, line(s) 210,234
JFQD2mYLkaLzgdHD/x0Gni7EvrVqdno9E.java, line(s) 35,103
KeVukO0ryZ7WSzb8/Dw2y0jVUtFWrXWUu.java, line(s) 89,47,56
LJxmPvTp3UgDa2xY/Zz1n4mANGrOtnkZ1.java, line(s) 112,138,80
Ljt4wPv8sORyzqsK/LqzzjROktB5TJqnt.java, line(s) 49
Ljt4wPv8sORyzqsK/MZwnFLh1a7WNTtqQ.java, line(s) 47
Ljt4wPv8sORyzqsK/T71dCZexxBq49haq.java, line(s) 204,393
Ljt4wPv8sORyzqsK/YdJtSkUd7lPEzhDm.java, line(s) 49
Ljt4wPv8sORyzqsK/oMXUFYVdLRc7XsLO.java, line(s) 258,367
NZXpg6ARR9lURZH5/oMXUFYVdLRc7XsLO.java, line(s) 264,241,245,195
OE6Q3RKskZWG36dr/x0Gni7EvrVqdno9E.java, line(s) 40
OGKlsC4RNZJDmukZ/b7EmUA9YcMaaU1yE.java, line(s) 31
OWsRm0rxzUpVlYiX/Dw2y0jVUtFWrXWUu.java, line(s) 27
OWsRm0rxzUpVlYiX/J5RhUH9tpnbHlT4b.java, line(s) 47,90,96,105,108
OWsRm0rxzUpVlYiX/PoEPuw2QVcCzOkXy.java, line(s) 44
OWsRm0rxzUpVlYiX/RvjDlPuydi9nbh9y.java, line(s) 41
OWsRm0rxzUpVlYiX/T71dCZexxBq49haq.java, line(s) 23
OWsRm0rxzUpVlYiX/gwmCxFBGZFnALgC5.java, line(s) 85,110,117
QLdek4fDCOBYjA5x/Zz1n4mANGrOtnkZ1.java, line(s) 105,374,377,113,114,292,298
RGPsSp9nAQOJwF8l/BzQI6XLZjd2mSZXP.java, line(s) 108,59,99,100,107,60,35
RGPsSp9nAQOJwF8l/C6glwL939Z6rljka.java, line(s) 61,93,139,152,163,173,208,212,236,248,273
RGPsSp9nAQOJwF8l/EyHZOr1iRtA0mnbC.java, line(s) 85,100,104,112,126,148,166,134,139,156,84,99,103,111,122,147,165,65
RGPsSp9nAQOJwF8l/Fj64rpbU2n4w4wVa.java, line(s) 81,100,113
RGPsSp9nAQOJwF8l/G2RyqzaIWTKPzGHZ.java, line(s) 17,32,22,62,16,29
RGPsSp9nAQOJwF8l/Nzx0M2q4RFH5FVSu.java, line(s) 45,44
RGPsSp9nAQOJwF8l/UrT4ksCZoBCZ6gAI.java, line(s) 75
RGPsSp9nAQOJwF8l/Vz3rbtb7WUmIb2OE.java, line(s) 148,174,177,52,59,96,131,143,283,300,310
RGPsSp9nAQOJwF8l/XDPzo26GGkWAQzte.java, line(s) 114
RGPsSp9nAQOJwF8l/dbhP1Z3HFHVjhz6v.java, line(s) 86,85
RGPsSp9nAQOJwF8l/eVhSMiFlhS40bVqX.java, line(s) 36
RGPsSp9nAQOJwF8l/fwDqOhuNvNrZ5awk.java, line(s) 42,56,86,160,77,77,85,154,175,188,204
RGPsSp9nAQOJwF8l/iCq8NYF12j30cLBP.java, line(s) 82,82
RGPsSp9nAQOJwF8l/je1ioeazn7fsK8Sq.java, line(s) 111,126,131,116,197,43,110,125,130,95,103,114,133,179,212,333,342,360
RGPsSp9nAQOJwF8l/kWmLa4rZ0o6eYiWL.java, line(s) 44,53,74,85,98,58,61,64,123,126,43,73,84,97
RGPsSp9nAQOJwF8l/mArq4J9IBmUKtofq.java, line(s) 26,25
RGPsSp9nAQOJwF8l/t1QiZJ4DIGPiHBup.java, line(s) 39,49,86,80,115,67,67,83,97,101
RGPsSp9nAQOJwF8l/udKiocEELHk8Iq6G.java, line(s) 57,56,71,75,77
RGPsSp9nAQOJwF8l/ziKaNqhZHN07wNSR.java, line(s) 35
SEdvSukGk0NSnsVD/Zz1n4mANGrOtnkZ1.java, line(s) 262
T71dCZexxBq49haq/Vz3rbtb7WUmIb2OE.java, line(s) 62
T71dCZexxBq49haq/Zz1n4mANGrOtnkZ1.java, line(s) 37
T71dCZexxBq49haq/ybH96gIZRSzej9o3.java, line(s) 163
UzXrI1ooXfQaOFmT/GeZKzTDQQWc4nUoZ.java, line(s) 62,66
WvRsKYJFvuwr7wkc/Y5Stgos8NaTbDGUE.java, line(s) 287
YdJtSkUd7lPEzhDm/ybH96gIZRSzej9o3.java, line(s) 34,33
Ywu6NQ46SK6wBdXr/J5RhUH9tpnbHlT4b.java, line(s) 50
Ywu6NQ46SK6wBdXr/RvjDlPuydi9nbh9y.java, line(s) 41,55
Ywu6NQ46SK6wBdXr/Z4s2Ag2HUNLYSUhW.java, line(s) 62
Ywu6NQ46SK6wBdXr/b7EmUA9YcMaaU1yE.java, line(s) 54,248
Ywu6NQ46SK6wBdXr/ybH96gIZRSzej9o3.java, line(s) 54,59
Z4s2Ag2HUNLYSUhW/udKiocEELHk8Iq6G.java, line(s) 121
bX1pophdSePWJY51/GeZKzTDQQWc4nUoZ.java, line(s) 132,196,124,211
bjbQXU75d8ducQI4/gwmCxFBGZFnALgC5.java, line(s) 348
com/XssIKiTC/DDEbzjkruw/MainActivity.java, line(s) 95,97,147,150
com/XssIKiTC/DDEbzjkruw/Zz1n4mANGrOtnkZ1.java, line(s) 300
com/example/fcmexpr/keepalive/DHd8hASN0GfZ2JoH.java, line(s) 36,759,812,857,863,210,756,815
com/example/fcmexpr/keepalive/KeepAliveServiceMediaPlayback.java, line(s) 78
com/example/fcmexpr/keepalive/mEGdhzdYpsYsPav7.java, line(s) 23,45
com/example/fcmexpr/miner/GeZKzTDQQWc4nUoZ.java, line(s) 126,157,355,110,159,358
com/example/fcmexpr/miner/gwmCxFBGZFnALgC5.java, line(s) 83,78
fwDqOhuNvNrZ5awk/gwmCxFBGZFnALgC5.java, line(s) 1038,1042
hR12ic3XZ0sBmvee/H7GiNeWHvArRRWL0.java, line(s) 200
hR12ic3XZ0sBmvee/gwmCxFBGZFnALgC5.java, line(s) 37,53,60,63,82
hYBWw38wGhCPYnOV/x0Gni7EvrVqdno9E.java, line(s) 28
iCq8NYF12j30cLBP/YdJtSkUd7lPEzhDm.java, line(s) 31
jtWl7yoiWNij8kUb/oMXUFYVdLRc7XsLO.java, line(s) 57,88
mKlSmp7ZwVKUd8vd/GeZKzTDQQWc4nUoZ.java, line(s) 18
mKlSmp7ZwVKUd8vd/LJxmPvTp3UgDa2xY.java, line(s) 33
mKlSmp7ZwVKUd8vd/MZwnFLh1a7WNTtqQ.java, line(s) 26
mKlSmp7ZwVKUd8vd/Novn4CUcdK5w3nSm.java, line(s) 37
mKlSmp7ZwVKUd8vd/SEdvSukGk0NSnsVD.java, line(s) 34
mKlSmp7ZwVKUd8vd/YT9DyD4Py9MkCMiZ.java, line(s) 54
mKlSmp7ZwVKUd8vd/Ywu6NQ46SK6wBdXr.java, line(s) 117,120,149,152,155,86,91
mKlSmp7ZwVKUd8vd/Z5cLPgQWCC8PnFlX.java, line(s) 77,82
mKlSmp7ZwVKUd8vd/Zz1n4mANGrOtnkZ1.java, line(s) 433,263,269,273,279,451
mKlSmp7ZwVKUd8vd/gZCxIhN0c5Hf7HCC.java, line(s) 101
mKlSmp7ZwVKUd8vd/mGhyRiNHSZPE2UUt.java, line(s) 27
mgG1H1WCTZFrISBF/Zz1n4mANGrOtnkZ1.java, line(s) 109,135,142,149,196,217
qseWT1nzz4ZL3UWz/Zz1n4mANGrOtnkZ1.java, line(s) 53
r3wWlCiuJyQBlooF/oMXUFYVdLRc7XsLO.java, line(s) 127
u6DERftKdZJ7qfof/x0Gni7EvrVqdno9E.java, line(s) 91,102
udKiocEELHk8Iq6G/Zz1n4mANGrOtnkZ1.java, line(s) 185,229,253
wtD70m8So6rXMm4O/GeZKzTDQQWc4nUoZ.java, line(s) 203,106,178
ybH96gIZRSzej9o3/OGKlsC4RNZJDmukZ.java, line(s) 465,200,205,212,274,301
ybH96gIZRSzej9o3/P6MOh6fAkUwG0zIu.java, line(s) 86
ybH96gIZRSzej9o3/XDPzo26GGkWAQzte.java, line(s) 165,195
ybH96gIZRSzej9o3/je1ioeazn7fsK8Sq.java, line(s) 38
ybH96gIZRSzej9o3/mEGdhzdYpsYsPav7.java, line(s) 64,111,125,260
ybH96gIZRSzej9o3/mGhyRiNHSZPE2UUt.java, line(s) 106
ybH96gIZRSzej9o3/q2nRShqoOblHBx70.java, line(s) 133,49,65,96,124,423
ybH96gIZRSzej9o3/ziKaNqhZHN07wNSR.java, line(s) 47

已通过安全项 Firebase远程配置已禁用

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/469967176169/namespaces/firebase:fetch?key=AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

已通过安全项 此应用程序没有隐私跟踪程序

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

应用图标

Axis Rewards v4.12025.4.214244

Android APK
49
综合安全评分
中风险