安全分析报告:
安全分数
安全分数 52/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
0
中危
27
信息
1
安全
1
关注
0
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityDzdp) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityDy) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityIns) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityQq) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityFacebook) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityZh) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityQqmail) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityXhs) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityWx) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityWb) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityTuite) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityTt) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityMm) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityKs) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.NewActivityJsq) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (kosbt.hcwijq.ajslo.DefaultAlias) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: j3/c.java, line(s) 5,6,7,8,9,159,184 r9/j.java, line(s) 5,116 r9/k.java, line(s) 4,5,45,62,68 x7/i.java, line(s) 9,10,11,12,13,351
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: f4/g.java, line(s) 79 h4/d.java, line(s) 37 h4/p.java, line(s) 95 h4/x.java, line(s) 84 t0/a.java, line(s) 94 v5/f.java, line(s) 43 w3/d.java, line(s) 46
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: m1/d1.java, line(s) 4 v8/a.java, line(s) 3 v8/b.java, line(s) 3 w8/a.java, line(s) 3 x0/r1.java, line(s) 6 z0/b.java, line(s) 12
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: c5/a.java, line(s) 86 e8/a.java, line(s) 73,114,129,138,147,156,165,174,183,210,219,228 vn/hunghd/flutterdownloader/DownloadWorker.java, line(s) 299 w5/e.java, line(s) 241,399
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/e.java, line(s) 184 e3/o0.java, line(s) 66
中危 IP地址泄露
IP地址泄露 Files: i1/c.java, line(s) 9
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "library_zxingandroidembedded_author" : "JourneyApps" edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a6/a.java, line(s) 23,33,43,53 a7/a.java, line(s) 13 a8/a.java, line(s) 49,73 b5/a.java, line(s) 72,73 c0/c.java, line(s) 418 c4/a.java, line(s) 19 c4/t.java, line(s) 56,84,87,198,211,217,225,328 c4/v.java, line(s) 75,79,84 c4/x.java, line(s) 60 c6/d.java, line(s) 52 com/journeyapps/barcodescanner/a.java, line(s) 621,662,117,298,367,389 com/journeyapps/barcodescanner/e.java, line(s) 104,205,190 d4/b.java, line(s) 319 de/mintware/barcode_scan/BarcodeScannerActivity.java, line(s) 70 e/e.java, line(s) 368,372 e3/k0.java, line(s) 237 e3/o.java, line(s) 422,450,577 e3/o0.java, line(s) 141,144,149 e3/r.java, line(s) 70,166 e4/d.java, line(s) 76,103,75,102 e4/e.java, line(s) 539,560,578,538,559,577 g3/a.java, line(s) 113 g4/c.java, line(s) 111,110 g4/e.java, line(s) 71,70 h4/h.java, line(s) 639,353,367,638,459 h4/i.java, line(s) 51,52 h4/k.java, line(s) 14,214 h4/q.java, line(s) 165 h4/z.java, line(s) 76,113,66,75,112,67 i3/k.java, line(s) 74,60,64 i4/i.java, line(s) 110,150,111,151 i4/j.java, line(s) 113,153,163,175,80,112,122,142,152,162,174,195,202,86,123,196,203,143 i5/b.java, line(s) 80 j1/l.java, line(s) 44 j3/d.java, line(s) 205 j4/e.java, line(s) 44,54,68,74,105,45,69,57,75,106 j4/i.java, line(s) 122,106 j5/a.java, line(s) 55 k3/a.java, line(s) 84 k4/a.java, line(s) 169,166 l0/e.java, line(s) 121 l0/f.java, line(s) 196 l0/g.java, line(s) 185,80,100,112,113,128,132 l4/c.java, line(s) 16,15 l4/d.java, line(s) 44,43 l4/g.java, line(s) 104,103 l4/s.java, line(s) 67,70 l4/t.java, line(s) 64,69,82,98,65,70,85,101 l4/u.java, line(s) 37,36 l6/d.java, line(s) 140,173 l9/c.java, line(s) 223,237,252,257 m3/b.java, line(s) 78 m6/b.java, line(s) 41 m9/a.java, line(s) 160 n3/m0.java, line(s) 33,66 n4/a.java, line(s) 73,74 o/b.java, line(s) 77,99 o4/d.java, line(s) 14,15 o4/h.java, line(s) 174,181,273,283,295,308,326,342,352,361,374,379,173,180,272,282,294,307,325,335,340,344,350,354,373,378 o4/j.java, line(s) 107,125,106,124,201,202,282 o4/k.java, line(s) 44,50,45,51 o4/n.java, line(s) 85,118,124,130,136,142,149,155,163,119,125,131,137,143,150,156,164,86 o4/z.java, line(s) 206,213,259,318,205,212,256,317 o5/a.java, line(s) 12 r3/m.java, line(s) 25,32,39,46,53,60,67,74,81 r9/g.java, line(s) 276 s0/o.java, line(s) 37,32,42,27 s4/a.java, line(s) 86,91,96,105,87,92,97,106 s4/d.java, line(s) 21,22 s4/j.java, line(s) 39,42 s5/b.java, line(s) 281 u/e.java, line(s) 57,88 u4/d.java, line(s) 44,57,62,67,43,50,56,61,66,51 u7/i.java, line(s) 91 v7/a.java, line(s) 83,106,124 v7/c.java, line(s) 24,25,29,34,40,61,63,69,79,103,109,123,129,132,134,140,151,154,156,165,168,179,185 v7/g.java, line(s) 45,61,80,97,141,49,68,85,101 v7/h.java, line(s) 63,82,308,109,152,182,148,154,192,200 v7/l.java, line(s) 27 v7/n.java, line(s) 27 v7/q.java, line(s) 38,39 vn/hunghd/flutterdownloader/DownloadWorker.java, line(s) 329,335,127,134 w/l.java, line(s) 176 w4/j.java, line(s) 114,16,242,274 w5/a.java, line(s) 530,535,573,577,582,587 w5/d.java, line(s) 540,545,550 x7/c0.java, line(s) 84,102,164,180,233,246,252,269,274,341,350,410,88,345 x7/e0.java, line(s) 24 x7/i.java, line(s) 157,207,280,357,397,467,573,380 z/d.java, line(s) 138 z4/b.java, line(s) 20 z6/e.java, line(s) 34,72 z6/g.java, line(s) 39,32
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。