安全分析报告: 惠州车管 v1.23

安全分数


安全分数 37/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 5
中危 8
信息 1
安全 1
关注 3

高危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 Activity (com.uroad.hzcg.LoginActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.uroad.hzcg.LoginActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。 

活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (17) 更新到 28 或更高版本以在平台级别修复此问题。

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/uroad/util/DESPlus.java, line(s) 49,51

高危 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/uroad/hzcg/BuildConfig.java, line(s) 3,4

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/tencent/a/a/d.java, line(s) 24
com/tencent/a/b/c.java, line(s) 7,13
com/tencent/utils/AsynLoadImg.java, line(s) 83
com/tencent/utils/Util.java, line(s) 458,459
com/uroad/service/AutoUpdateService.java, line(s) 28
com/uroad/util/FileUtils.java, line(s) 93,96,250,263,267,282,291,306,332,395
com/uroad/util/ImageUtil.java, line(s) 61
com/uroad/widget/image/ImageUtils.java, line(s) 41,50,51,56

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/novell/sasl/client/DigestMD5SaslClient.java, line(s) 149,174
com/tencent/b/b/r.java, line(s) 13
com/tencent/mm/algorithm/MD5.java, line(s) 109,136,187,206
com/tencent/utils/SystemUtils.java, line(s) 89
com/tencent/utils/Util.java, line(s) 330,409
com/tencent/weiyun/FileManager.java, line(s) 222,388
com/uroad/util/SecurityUtil.java, line(s) 22
com/uroad/widget/image/FileNameGenerator.java, line(s) 9

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/novell/sasl/client/DigestMD5SaslClient.java, line(s) 331
com/tencent/weiyun/FileManager.java, line(s) 211
org/jivesoftware/smack/util/StringUtils.java, line(s) 250

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/uroad/net/SimpleMultipartEntity.java, line(s) 12
org/jivesoftware/smack/util/StringUtils.java, line(s) 8

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/uroad/util/DESPlus.java, line(s) 10
org/jivesoftware/smack/ConnectionConfiguration.java, line(s) 81
org/jivesoftware/smack/util/collections/AbstractHashedMap.java, line(s) 772

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
友盟统计的=> "UMENG_APPKEY" : "5306f28156240b6f9f242ec0"
3i2ndDfv2rTHiSisAbouNdArYfORhtTPEefj3q2f
36f68aba34db77ac54d27e66fec00c51e805e5d5
5302fe4256240b6fa4009a78
d8391a394d4a179e6fe7bdb8a301258b
boundary=3i2ndDfv2rTHiSisAbouNdArYfORhtTPEefj3q2f
e390a4bcccc81165bd4bc9d94d47eabb2c47d691
160e7bd42dec9428721034e0146fc6dd

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/hp/hpl/sparta/DefaultLog.java, line(s) 6,11,16
com/hp/hpl/sparta/ParseByteStream.java, line(s) 61
com/hp/hpl/sparta/ParseException.java, line(s) 35
com/tencent/a/a/f.java, line(s) 15,24,27,18,12,21
com/tencent/utils/AsynLoadImg.java, line(s) 29,39,48,52,63,74,97,105,111,119,123
com/tencent/utils/HttpUtils.java, line(s) 144,148,710,714
com/tencent/utils/OpenConfig.java, line(s) 225
com/tencent/utils/ServerSetting.java, line(s) 68,72,63,76,86
com/tencent/utils/SystemUtils.java, line(s) 137,146
com/tencent/utils/Util.java, line(s) 295,402,513,566
com/tencent/weiyun/FileManager.java, line(s) 623,675,617,659
com/uroad/adapter/FragmentAdapter.java, line(s) 32,38,44
com/uroad/common/ExceptionHandler.java, line(s) 68,167,182,191
com/uroad/fragments/CCTVGridViewFragment.java, line(s) 61,71
com/uroad/fragments/OptimalCCTVGridViewFragment.java, line(s) 54,64
com/uroad/net/FileHttpResponseHandler.java, line(s) 231
com/uroad/service/AutoUpdateService.java, line(s) 55
com/uroad/util/FileUtils.java, line(s) 492,77,321,337,376,471
com/uroad/util/HTTPUtil.java, line(s) 55
com/uroad/util/HanziToPinyin.java, line(s) 332,313
com/uroad/util/JsonUtil.java, line(s) 82
com/uroad/util/ObjectHelper.java, line(s) 80
com/uroad/util/SecurityUtil.java, line(s) 16
com/uroad/util/SystemUtil.java, line(s) 28,39,150,161
com/uroad/widget/image/BitmapCache.java, line(s) 62,101,109,169,178,232,241,306,340,366,384,399
com/uroad/widget/image/BitmapDecoder.java, line(s) 26,42,53,69,85,96,138,148,151,163
com/uroad/widget/image/BitmapProcess.java, line(s) 34,53,57,70,78,142,157,172
com/uroad/widget/image/ImageAsyncTask.java, line(s) 64
com/uroad/widget/image/ImageUtils.java, line(s) 59
com/uroad/widget/image/ImageViewFactory.java, line(s) 566,880
com/uroad/widget/image/SimpleHttpDownloader.java, line(s) 23,42,79
com/uroad/widget/slidingmenu/CustomViewBehind.java, line(s) 234
com/uroad/widget/slidingmenu/SlidingMenu.java, line(s) 547,563
org/jivesoftware/smack/ServerTrustManager.java, line(s) 115
org/jivesoftware/smack/SmackConfiguration.java, line(s) 136
org/jivesoftware/smack/util/Base64.java, line(s) 73,74,428,719,738,784,387,388,389,390
org/jivesoftware/smack/util/Cache.java, line(s) 266,283
org/jivesoftware/smack/util/PacketParserUtils.java, line(s) 124,161
org/jivesoftware/smack/util/StringUtils.java, line(s) 252,258

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/tencent/utils/HttpUtils.java, line(s) 852,856,822,531,850,854,854

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.myapp.com) 通信。 

{'ip': '101.89.47.26', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.weather.com.cn) 通信。 

{'ip': '114.230.213.87', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.u-road.com) 通信。 

{'ip': '47.96.92.29', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

安全评分: ( 惠州车管 1.23)