页面标题
页面副标题
移动应用安全检测报告

Axis Rewards v4.12025.4.214244
49
安全评分
安全基线评分
49/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
3
高危
13
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
3
中危安全漏洞
13
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 Activity (com.XssIKiTC.DDEbzjkruw.MainActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.XssIKiTC.DDEbzjkruw.MainAliasActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/example/fcmexpr/GeZKzTDQQWc4nUoZ.java, line(s) 18
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity-Alias (com.XssIKiTC.DDEbzjkruw.MainAliasActivity) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.XssIKiTC.DDEbzjkruw.InstallReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.example.fcmexpr.keepalive.KeepAliveJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.example.fcmexpr.keepalive.FirebaseMessagingKeepAliveService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.example.fcmexpr.keepalive.KeepAliveReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: JFQD2mYLkaLzgdHD/x0Gni7EvrVqdno9E.java, line(s) 31 RGPsSp9nAQOJwF8l/XDPzo26GGkWAQzte.java, line(s) 65 com/example/fcmexpr/GeZKzTDQQWc4nUoZ.java, line(s) 19
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: a8rtijgGXEVKL0tc/YdJtSkUd7lPEzhDm.java, line(s) 8,9,67,138,202,363,417,552,564,654 a8rtijgGXEVKL0tc/mGhyRiNHSZPE2UUt.java, line(s) 4,5,135
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: JFQD2mYLkaLzgdHD/Zz1n4mANGrOtnkZ1.java, line(s) 94
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w" "google_app_id" : "1:469967176169:android:d67d8d7454d4439dbc8b78" "google_crash_reporting_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w" 44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: BzQI6XLZjd2mSZXP/EasUkSzVd5fnxha1.java, line(s) 469,497,314,326,333,342,91,110,460 BzQI6XLZjd2mSZXP/LJxmPvTp3UgDa2xY.java, line(s) 53,131 BzQI6XLZjd2mSZXP/P6MOh6fAkUwG0zIu.java, line(s) 43,63,77,91,105,120,129 BzQI6XLZjd2mSZXP/SEdvSukGk0NSnsVD.java, line(s) 903,1016,902 E0pLC7FYZkdSeo4L/LqzzjROktB5TJqnt.java, line(s) 26,33,25,32 E0pLC7FYZkdSeo4L/RvjDlPuydi9nbh9y.java, line(s) 16,13,13 E0pLC7FYZkdSeo4L/T71dCZexxBq49haq.java, line(s) 35,112,257,34,111,155,194,223,239,256,270,156,195,224,240,271,42,184 E0pLC7FYZkdSeo4L/XDPzo26GGkWAQzte.java, line(s) 47,29,68 E0pLC7FYZkdSeo4L/Ywu6NQ46SK6wBdXr.java, line(s) 23 E0pLC7FYZkdSeo4L/Zz1n4mANGrOtnkZ1.java, line(s) 109,122,143,213,248,263,108,121,142,212,247,262,139,159,171,228,270,291 E0pLC7FYZkdSeo4L/jtWl7yoiWNij8kUb.java, line(s) 53,52 E0pLC7FYZkdSeo4L/x0Gni7EvrVqdno9E.java, line(s) 136,149,107,110 EyHZOr1iRtA0mnbC/RvjDlPuydi9nbh9y.java, line(s) 37,44,47,55,92,97,102,107,112 F2UZymkXPsaMw7ah/x0Gni7EvrVqdno9E.java, line(s) 38 I60NkTZNkUGXNB82/GeZKzTDQQWc4nUoZ.java, line(s) 22,50,15,14,21,28,42,43,49,29 IgpVpHuaW08yezuP/Vz3rbtb7WUmIb2OE.java, line(s) 210,234 JFQD2mYLkaLzgdHD/x0Gni7EvrVqdno9E.java, line(s) 35,103 KeVukO0ryZ7WSzb8/Dw2y0jVUtFWrXWUu.java, line(s) 89,47,56 LJxmPvTp3UgDa2xY/Zz1n4mANGrOtnkZ1.java, line(s) 112,138,80 Ljt4wPv8sORyzqsK/LqzzjROktB5TJqnt.java, line(s) 49 Ljt4wPv8sORyzqsK/MZwnFLh1a7WNTtqQ.java, line(s) 47 Ljt4wPv8sORyzqsK/T71dCZexxBq49haq.java, line(s) 204,393 Ljt4wPv8sORyzqsK/YdJtSkUd7lPEzhDm.java, line(s) 49 Ljt4wPv8sORyzqsK/oMXUFYVdLRc7XsLO.java, line(s) 258,367 NZXpg6ARR9lURZH5/oMXUFYVdLRc7XsLO.java, line(s) 264,241,245,195 OE6Q3RKskZWG36dr/x0Gni7EvrVqdno9E.java, line(s) 40 OGKlsC4RNZJDmukZ/b7EmUA9YcMaaU1yE.java, line(s) 31 OWsRm0rxzUpVlYiX/Dw2y0jVUtFWrXWUu.java, line(s) 27 OWsRm0rxzUpVlYiX/J5RhUH9tpnbHlT4b.java, line(s) 47,90,96,105,108 OWsRm0rxzUpVlYiX/PoEPuw2QVcCzOkXy.java, line(s) 44 OWsRm0rxzUpVlYiX/RvjDlPuydi9nbh9y.java, line(s) 41 OWsRm0rxzUpVlYiX/T71dCZexxBq49haq.java, line(s) 23 OWsRm0rxzUpVlYiX/gwmCxFBGZFnALgC5.java, line(s) 85,110,117 QLdek4fDCOBYjA5x/Zz1n4mANGrOtnkZ1.java, line(s) 105,374,377,113,114,292,298 RGPsSp9nAQOJwF8l/BzQI6XLZjd2mSZXP.java, line(s) 108,59,99,100,107,60,35 RGPsSp9nAQOJwF8l/C6glwL939Z6rljka.java, line(s) 61,93,139,152,163,173,208,212,236,248,273 RGPsSp9nAQOJwF8l/EyHZOr1iRtA0mnbC.java, line(s) 85,100,104,112,126,148,166,134,139,156,84,99,103,111,122,147,165,65 RGPsSp9nAQOJwF8l/Fj64rpbU2n4w4wVa.java, line(s) 81,100,113 RGPsSp9nAQOJwF8l/G2RyqzaIWTKPzGHZ.java, line(s) 17,32,22,62,16,29 RGPsSp9nAQOJwF8l/Nzx0M2q4RFH5FVSu.java, line(s) 45,44 RGPsSp9nAQOJwF8l/UrT4ksCZoBCZ6gAI.java, line(s) 75 RGPsSp9nAQOJwF8l/Vz3rbtb7WUmIb2OE.java, line(s) 148,174,177,52,59,96,131,143,283,300,310 RGPsSp9nAQOJwF8l/XDPzo26GGkWAQzte.java, line(s) 114 RGPsSp9nAQOJwF8l/dbhP1Z3HFHVjhz6v.java, line(s) 86,85 RGPsSp9nAQOJwF8l/eVhSMiFlhS40bVqX.java, line(s) 36 RGPsSp9nAQOJwF8l/fwDqOhuNvNrZ5awk.java, line(s) 42,56,86,160,77,77,85,154,175,188,204 RGPsSp9nAQOJwF8l/iCq8NYF12j30cLBP.java, line(s) 82,82 RGPsSp9nAQOJwF8l/je1ioeazn7fsK8Sq.java, line(s) 111,126,131,116,197,43,110,125,130,95,103,114,133,179,212,333,342,360 RGPsSp9nAQOJwF8l/kWmLa4rZ0o6eYiWL.java, line(s) 44,53,74,85,98,58,61,64,123,126,43,73,84,97 RGPsSp9nAQOJwF8l/mArq4J9IBmUKtofq.java, line(s) 26,25 RGPsSp9nAQOJwF8l/t1QiZJ4DIGPiHBup.java, line(s) 39,49,86,80,115,67,67,83,97,101 RGPsSp9nAQOJwF8l/udKiocEELHk8Iq6G.java, line(s) 57,56,71,75,77 RGPsSp9nAQOJwF8l/ziKaNqhZHN07wNSR.java, line(s) 35 SEdvSukGk0NSnsVD/Zz1n4mANGrOtnkZ1.java, line(s) 262 T71dCZexxBq49haq/Vz3rbtb7WUmIb2OE.java, line(s) 62 T71dCZexxBq49haq/Zz1n4mANGrOtnkZ1.java, line(s) 37 T71dCZexxBq49haq/ybH96gIZRSzej9o3.java, line(s) 163 UzXrI1ooXfQaOFmT/GeZKzTDQQWc4nUoZ.java, line(s) 62,66 WvRsKYJFvuwr7wkc/Y5Stgos8NaTbDGUE.java, line(s) 287 YdJtSkUd7lPEzhDm/ybH96gIZRSzej9o3.java, line(s) 34,33 Ywu6NQ46SK6wBdXr/J5RhUH9tpnbHlT4b.java, line(s) 50 Ywu6NQ46SK6wBdXr/RvjDlPuydi9nbh9y.java, line(s) 41,55 Ywu6NQ46SK6wBdXr/Z4s2Ag2HUNLYSUhW.java, line(s) 62 Ywu6NQ46SK6wBdXr/b7EmUA9YcMaaU1yE.java, line(s) 54,248 Ywu6NQ46SK6wBdXr/ybH96gIZRSzej9o3.java, line(s) 54,59 Z4s2Ag2HUNLYSUhW/udKiocEELHk8Iq6G.java, line(s) 121 bX1pophdSePWJY51/GeZKzTDQQWc4nUoZ.java, line(s) 132,196,124,211 bjbQXU75d8ducQI4/gwmCxFBGZFnALgC5.java, line(s) 348 com/XssIKiTC/DDEbzjkruw/MainActivity.java, line(s) 95,97,147,150 com/XssIKiTC/DDEbzjkruw/Zz1n4mANGrOtnkZ1.java, line(s) 300 com/example/fcmexpr/keepalive/DHd8hASN0GfZ2JoH.java, line(s) 36,759,812,857,863,210,756,815 com/example/fcmexpr/keepalive/KeepAliveServiceMediaPlayback.java, line(s) 78 com/example/fcmexpr/keepalive/mEGdhzdYpsYsPav7.java, line(s) 23,45 com/example/fcmexpr/miner/GeZKzTDQQWc4nUoZ.java, line(s) 126,157,355,110,159,358 com/example/fcmexpr/miner/gwmCxFBGZFnALgC5.java, line(s) 83,78 fwDqOhuNvNrZ5awk/gwmCxFBGZFnALgC5.java, line(s) 1038,1042 hR12ic3XZ0sBmvee/H7GiNeWHvArRRWL0.java, line(s) 200 hR12ic3XZ0sBmvee/gwmCxFBGZFnALgC5.java, line(s) 37,53,60,63,82 hYBWw38wGhCPYnOV/x0Gni7EvrVqdno9E.java, line(s) 28 iCq8NYF12j30cLBP/YdJtSkUd7lPEzhDm.java, line(s) 31 jtWl7yoiWNij8kUb/oMXUFYVdLRc7XsLO.java, line(s) 57,88 mKlSmp7ZwVKUd8vd/GeZKzTDQQWc4nUoZ.java, line(s) 18 mKlSmp7ZwVKUd8vd/LJxmPvTp3UgDa2xY.java, line(s) 33 mKlSmp7ZwVKUd8vd/MZwnFLh1a7WNTtqQ.java, line(s) 26 mKlSmp7ZwVKUd8vd/Novn4CUcdK5w3nSm.java, line(s) 37 mKlSmp7ZwVKUd8vd/SEdvSukGk0NSnsVD.java, line(s) 34 mKlSmp7ZwVKUd8vd/YT9DyD4Py9MkCMiZ.java, line(s) 54 mKlSmp7ZwVKUd8vd/Ywu6NQ46SK6wBdXr.java, line(s) 117,120,149,152,155,86,91 mKlSmp7ZwVKUd8vd/Z5cLPgQWCC8PnFlX.java, line(s) 77,82 mKlSmp7ZwVKUd8vd/Zz1n4mANGrOtnkZ1.java, line(s) 433,263,269,273,279,451 mKlSmp7ZwVKUd8vd/gZCxIhN0c5Hf7HCC.java, line(s) 101 mKlSmp7ZwVKUd8vd/mGhyRiNHSZPE2UUt.java, line(s) 27 mgG1H1WCTZFrISBF/Zz1n4mANGrOtnkZ1.java, line(s) 109,135,142,149,196,217 qseWT1nzz4ZL3UWz/Zz1n4mANGrOtnkZ1.java, line(s) 53 r3wWlCiuJyQBlooF/oMXUFYVdLRc7XsLO.java, line(s) 127 u6DERftKdZJ7qfof/x0Gni7EvrVqdno9E.java, line(s) 91,102 udKiocEELHk8Iq6G/Zz1n4mANGrOtnkZ1.java, line(s) 185,229,253 wtD70m8So6rXMm4O/GeZKzTDQQWc4nUoZ.java, line(s) 203,106,178 ybH96gIZRSzej9o3/OGKlsC4RNZJDmukZ.java, line(s) 465,200,205,212,274,301 ybH96gIZRSzej9o3/P6MOh6fAkUwG0zIu.java, line(s) 86 ybH96gIZRSzej9o3/XDPzo26GGkWAQzte.java, line(s) 165,195 ybH96gIZRSzej9o3/je1ioeazn7fsK8Sq.java, line(s) 38 ybH96gIZRSzej9o3/mEGdhzdYpsYsPav7.java, line(s) 64,111,125,260 ybH96gIZRSzej9o3/mGhyRiNHSZPE2UUt.java, line(s) 106 ybH96gIZRSzej9o3/q2nRShqoOblHBx70.java, line(s) 133,49,65,96,124,423 ybH96gIZRSzej9o3/ziKaNqhZHN07wNSR.java, line(s) 47
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/469967176169/namespaces/firebase:fetch?key=AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w ) 已禁用。响应内容如下所示: { "state": "NO_TEMPLATE" }
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结

Axis Rewards v4.12025.4.214244
Android APK
49
综合安全评分
中风险