安全分析报告: Touch The Notch v1.4.7

安全分数


安全分数 57/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 0
中危 9
信息 1
安全 1
关注 0

中危 Activity (com.notch.touch.ui.SaSelect) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.notch.touch.ui.Intro) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.notch.touch.ui.Ac) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.notch.touch.ui.Pur) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.notch.touch.ui.Purs) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Service (com.notch.touch.lock.tas) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 高优先级的Intent (998) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
r3/a.java, line(s) 3
r3/b.java, line(s) 3
s3/a.java, line(s) 3

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
z0/m0.java, line(s) 6,7,100
z0/t0.java, line(s) 4,5,107

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/c.java, line(s) 70
c0/a.java, line(s) 128
c2/b0.java, line(s) 112,128,134,114,120,129,135
f1/b.java, line(s) 120,167,172
f1/d.java, line(s) 61,146,74,128,165,177,187,194,197,199,203
f1/e.java, line(s) 40,76
f1/g.java, line(s) 23
f1/o.java, line(s) 42
f1/s.java, line(s) 18
f2/a.java, line(s) 69,73
g/g.java, line(s) 134,181,240
g0/b.java, line(s) 27,35,53
h/c.java, line(s) 272
h1/b1.java, line(s) 40
h1/e.java, line(s) 256,364
h1/e0.java, line(s) 152,531
h1/h0.java, line(s) 47
h1/i0.java, line(s) 34
h2/f.java, line(s) 30,35,40,49,83
h2/m.java, line(s) 119
j1/a0.java, line(s) 30
j1/b.java, line(s) 14,24
j1/c.java, line(s) 306,326,374,378,382
j1/c1.java, line(s) 44,49
j1/f1.java, line(s) 48
j1/g.java, line(s) 25,31,37,20,43,49
j1/n0.java, line(s) 30
j1/r0.java, line(s) 90
j1/s0.java, line(s) 25
j1/t0.java, line(s) 18
j1/v0.java, line(s) 38,56
j1/w.java, line(s) 96,99,102,105,108,111,119,122,125,128,160,168
k0/a.java, line(s) 28
m/e.java, line(s) 40
m/o.java, line(s) 59
p/f.java, line(s) 253,261,267,196
r1/a.java, line(s) 74,83
s0/k.java, line(s) 31,36,41,49,75,78,81,84,87
s1/e.java, line(s) 14
s1/l.java, line(s) 14,13
s2/j.java, line(s) 123
v0/a.java, line(s) 8,15,22,7,14,21,32,33,39,40
w1/b.java, line(s) 34,98
x2/e.java, line(s) 47
y/b.java, line(s) 61
y/g0.java, line(s) 276,295,37,56,267
y/j.java, line(s) 67
y/v.java, line(s) 794,763,793
y/z.java, line(s) 42,51,63,81,93,106,120
z/b.java, line(s) 146

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Touch The Notch 1.4.7)