安全分析报告:
安全分数
安全分数 43/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
3
中危
8
信息
2
安全
1
关注
1
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: io/flutter/plugins/webviewflutter/q3.java, line(s) 343,10,11
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: e2/a.java, line(s) 70
中危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 5.0-5.0.2, [minSdk=21] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c2/b.java, line(s) 12 l7/a.java, line(s) 3 l7/b.java, line(s) 3 m7/a.java, line(s) 3 u5/d.java, line(s) 18 y0/r1.java, line(s) 6 z1/s0.java, line(s) 4 z7/c.java, line(s) 19
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/example/r_upgrade/common/UpgradeService.java, line(s) 162,162 com/mr/flutter/plugin/filepicker/b.java, line(s) 231 com/mr/flutter/plugin/filepicker/c.java, line(s) 88 q0/a.java, line(s) 50 u0/b.java, line(s) 19 u6/g.java, line(s) 125,147 u6/i.java, line(s) 97
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/example/r_upgrade/common/a.java, line(s) 8,9,91 v5/i.java, line(s) 7,8,9,10,11,184
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: io/flutter/plugins/imagepicker/e.java, line(s) 241
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 9a04f079-9840-4286-ab92-e65be0885f95 edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a e2719d58-a985-b3c9-781a-b030af78d30e VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/c.java, line(s) 393 a3/d.java, line(s) 47,83,106,111 a3/g.java, line(s) 44,118,132,138,141 a3/h.java, line(s) 39 a3/m.java, line(s) 14 a3/n.java, line(s) 47 b6/b.java, line(s) 9,13,27,31,35 c3/c0.java, line(s) 26,41 c3/e.java, line(s) 296,404,568,762,836 c3/t.java, line(s) 44 c3/y.java, line(s) 47 com/amolg/flutterbarcodescanner/BarcodeCaptureActivity.java, line(s) 256,269 com/amolg/flutterbarcodescanner/FlutterBarcodeScannerPlugin.java, line(s) 158,173,200 com/amolg/flutterbarcodescanner/camera/CameraSourcePreview.java, line(s) 68,35,39,162,166 com/mr/flutter/plugin/filepicker/b.java, line(s) 75,83,103,119,232,249,264 com/mr/flutter/plugin/filepicker/c.java, line(s) 136,259,38,77,196,200,205,255,213,131 d/e.java, line(s) 1416,846,849,1898,2130,1475 d/g.java, line(s) 147 d/h.java, line(s) 40,50,65,75,92,104,116,125,138,152,164 d/j.java, line(s) 54,100 e/a.java, line(s) 97 e0/a.java, line(s) 75 e3/a.java, line(s) 18 e3/b.java, line(s) 348,442,462,198,225,301,363,611,615,619,625 e3/f0.java, line(s) 52 e3/g.java, line(s) 42,48 e3/m0.java, line(s) 30 e3/p.java, line(s) 21 e3/q.java, line(s) 35,38,67,70,73,96,105 e8/a.java, line(s) 145,225 f0/e0.java, line(s) 27,68 g3/a.java, line(s) 40,45 h/g.java, line(s) 117,150,227 h3/d.java, line(s) 30 h3/g.java, line(s) 64 i/c.java, line(s) 268 io/flutter/plugins/imagepicker/b.java, line(s) 21 io/flutter/plugins/imagepicker/g.java, line(s) 35 io/flutter/plugins/webviewflutter/c.java, line(s) 74 io/flutter/plugins/webviewflutter/g2.java, line(s) 26,55,70,125,117 j4/d.java, line(s) 132,165 k4/b.java, line(s) 28 m3/b.java, line(s) 11 m3/d.java, line(s) 11 m3/f.java, line(s) 11 m3/h.java, line(s) 11 m4/g.java, line(s) 386 n0/a.java, line(s) 16 n0/n.java, line(s) 42,64,67,246,254,260,265 n0/o.java, line(s) 273,277,282 n0/p.java, line(s) 54 q0/a.java, line(s) 173,191 r5/a.java, line(s) 86,102 s0/b.java, line(s) 17 s6/a.java, line(s) 16,19 t3/a.java, line(s) 74,78 u2/r.java, line(s) 37,32,27,22 u6/i.java, line(s) 142 v3/c.java, line(s) 9,16,27,34,8,15,23,24,40,41,47,48 v5/a0.java, line(s) 65,83,145,160,211,224,229,246,251,305,314,374,69,309 v5/c0.java, line(s) 22 v5/i.java, line(s) 129,190,198,242,315,392,432,489,617,213,415 w6/a.java, line(s) 100,89 w6/b.java, line(s) 32,35 w6/c.java, line(s) 12,30,50 y3/h.java, line(s) 48 z2/a.java, line(s) 164
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: io/flutter/plugin/editing/b.java, line(s) 5,83,92 io/flutter/plugin/platform/c.java, line(s) 8,250
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (app.mi.com) 通信。
{'ip': '118.26.252.203', 'country_short': 'CN', 'country_long': 'China', 'region': 'Beijing', 'city': 'Beijing', 'latitude': '39.907501', 'longitude': '116.397232'}