安全分析报告:
安全分数
安全分数 43/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
4
中危
14
信息
2
安全
1
关注
14
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/pandora/o147/module/webview/fragment/NewWebFragment.java, line(s) 441,14
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/pandora/o147/module/webview/fragment/NewWebFragment.java, line(s) 450,446
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/pandora/o147/app/MyApplication.java, line(s) 170,31,32,33,34,35,36
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: e/j/a/j/c0/d/b.java, line(s) 112,111
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/pandora/o147/module/webview/fragment/NewWebFragment.java, line(s) 477,447
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/opensource/svgaplayer/SVGACache.java, line(s) 41 e/j/a/g/b/a.java, line(s) 140 e/j/a/l/w.java, line(s) 44
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: d/o/a/a.java, line(s) 2367 d/u/b.java, line(s) 110 d/y/l.java, line(s) 49
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/tencent/avroom/TXCAVRoom.java, line(s) 786 d/b/p/j/g.java, line(s) 29,31 e/d/a/l/e.java, line(s) 76 e/d/a/l/k/d.java, line(s) 35 e/d/a/l/k/p.java, line(s) 94 e/d/a/l/k/w.java, line(s) 81
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/tencent/ugc/TXUGCRecord.java, line(s) 418,411 d/j/e/b.java, line(s) 125 d/j/j/d.java, line(s) 12,18,18 e/i/a/b.java, line(s) 39 e/j/a/g/b/a.java, line(s) 46,47 e/o/a/m/e/b.java, line(s) 46,41 e/o/a/m/e/c.java, line(s) 53
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/mymn/x/aa/I11I1l.java, line(s) 4 com/mymn/x/aa/l1lI1IiiI.java, line(s) 17 com/pandora/o147/module/play/tiktok/view/LoveView.java, line(s) 16 e/j/a/l/w.java, line(s) 7 h/p/a.java, line(s) 21 h/p/b.java, line(s) 4 h/p/d/a.java, line(s) 4
中危 IP地址泄露
IP地址泄露 Files: com/tencent/trtc/TRTCCloudDef.java, line(s) 82
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: d/a0/a/g/a.java, line(s) 5,6,7,8,81 d/y/f.java, line(s) 6,373
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 腾讯Bugly SDK的=> "BUGLY_APPID" : "b6d50d858c" "user" : "user" 27eb683b73944771ce62fbddab2849a4 0123456789abcdefABCDEF
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/pandora/o147/app/MyApplication.java, line(s) 248,249 com/pandora/o147/base/activity/MyActivity.java, line(s) 420 com/pandora/o147/module/webview/operation/XXWebOperationManager.java, line(s) 63,86,90,94,101,119,132,179,185 com/tencent/avroom/TXCAVRoom.java, line(s) 106,130,154,282,341,365,383,445,461,476,482,535,555,679,684,786,819,827 com/tencent/avroom/a.java, line(s) 86,87,98,101,107,181 com/tencent/avroom/b.java, line(s) 58 com/tencent/ijk/media/player/AndroidMediaPlayer.java, line(s) 156 com/tencent/ijk/media/player/IjkMediaPlayer.java, line(s) 256,287,265,294,1032,1046 com/tencent/ijk/media/player/pragma/DebugLog.java, line(s) 24,28,32 com/tencent/live2/V2TXLivePremier.java, line(s) 63,64 com/tencent/live2/a/a.java, line(s) 159,155,163 com/tencent/live2/a/b.java, line(s) 322,277,312 com/tencent/live2/a/c.java, line(s) 340,373,379,907,100,158,328,364,903,912,915 com/tencent/live2/b/a.java, line(s) 73,169,176,245,257,186 com/tencent/live2/b/b.java, line(s) 81,108,115,122,155,168,177,184,267,194 com/tencent/live2/b/c.java, line(s) 11,21 com/tencent/live2/b/d.java, line(s) 202,133,158 com/tencent/live2/b/e.java, line(s) 212,98,153,197,254 com/tencent/live2/b/f.java, line(s) 235,239,271,277,446,507,513,560,597,684,771,840,873,214,244,254,268,282,313,342,373,472,487,496,504,584,594,603,647,729,759,768,680 com/tencent/live2/impl/V2TXLivePlayerImpl.java, line(s) 59,535,63 com/tencent/live2/impl/V2TXLivePusherImpl.java, line(s) 66,77 com/tencent/live2/impl/V2TXLiveUtils.java, line(s) 298,472,301,434,437,443,447,451,454 com/tencent/live2/leb/TXLEBPlayerJNI.java, line(s) 76,80,84 com/tencent/live2/leb/b.java, line(s) 193,146,174,238,255,282,300,435,440,210,457,551 com/tencent/trtc/TRTCCloud.java, line(s) 78,82,86,90,105 com/tencent/trtc/TRTCSubCloud.java, line(s) 401 com/tencent/ugc/TXUGCPartsManager.java, line(s) 109,114 com/tencent/ugc/TXUGCRecord.java, line(s) 676,690,222,235,382,388,420,703,713,718,727,805,911,963,974,1000,1009,1073,1136,1169,1180,1274,1283,1324,1356,1360,1383,1395,1450,1454,1502,1513,1615,1632,1648,1658,1678,1682,1698,1708,1753,1826,1844,1848,1859,1867,1871,1875,1897,1901,1905,1930,1968,181,240,597,665,683,723,775,794,801,821,837,845,865,902,914,933,939,972,1020,1087,1121,1127,1153,1199,1205,1214,1286,1329,1370,1386,1405,1411,1687,1944,1955,1973,554 com/tencent/ugc/TXVideoEditer.java, line(s) 408,459,1016,127,282,291,300,383,513,552,557,575,585,600,615,631,641,650,674,691,703,754,760,778,790,817,831,847,874,913,986,1093,1107,1175,208,257,284,293,302,308,386,399,416,435,467,501,516,545,555,561,578,603,618,634,644,665,706,739,743,793,795,820,829,850,877,916,1025,1030,1039,1083,1096,1110,1160,1178,1191,606,620,1004,1020 com/tencent/ugc/TXVideoInfoReader.java, line(s) 85,207,230,175,205,276,338,62,63,74,80,96,111,135,221,247,253,82,182,186,198 com/tencent/ugc/TXVideoJoiner.java, line(s) 244,273,352,374,95,121,182,218,225,247,261,284,292,315,333,342,355,370,405,413 com/yalantis/ucrop/view/TransformImageView.java, line(s) 64 d/a0/a/c.java, line(s) 36,39,50 d/b/k/i.java, line(s) 46,56,71,81,98,110,122,131,144,158,170 d/b/l/a/a.java, line(s) 96 d/b/p/j/i.java, line(s) 399 d/b/q/a0.java, line(s) 96,133,353 d/b/q/b0.java, line(s) 29 d/b/q/c.java, line(s) 176,180,183,187,349,355 d/b/q/j0.java, line(s) 110 d/b/q/k0.java, line(s) 79 d/b/q/r.java, line(s) 146 d/b/q/v.java, line(s) 441,604 d/b/q/x.java, line(s) 45,57,95,124,379 d/d/b/e2.java, line(s) 648 d/d/b/n2.java, line(s) 25,40,44,48,52 d/f0/a/a/i.java, line(s) 996 d/h/b/a.java, line(s) 864 d/i0/d.java, line(s) 146,158,163,168,175,187,194,203,213,250,255,264,270,276,286,293 d/i0/k.java, line(s) 29,31 d/j/d/c.java, line(s) 81,223 d/j/d/f.java, line(s) 27 d/j/d/j.java, line(s) 62,79,86 d/j/d/k.java, line(s) 204,220,226,283,314,324,335,343 d/j/d/o.java, line(s) 76 d/j/e/e/a.java, line(s) 57 d/j/e/e/b.java, line(s) 72 d/j/e/e/f.java, line(s) 243,305,316,327 d/j/f/g.java, line(s) 69 d/j/f/h.java, line(s) 38 d/j/f/i.java, line(s) 57 d/j/f/l.java, line(s) 83,86 d/j/f/m.java, line(s) 97 d/j/n/b0.java, line(s) 19,34,55,82,103,124,145 d/j/n/g.java, line(s) 19,28 d/j/n/h0.java, line(s) 339,498 d/j/n/i0/c.java, line(s) 157 d/j/n/x.java, line(s) 755,873 d/j/o/m.java, line(s) 271 d/j/o/n.java, line(s) 48 d/l/a/c.java, line(s) 158 d/m/i.java, line(s) 74,80 d/o/a/a.java, line(s) 768,776,809,821,833,845,857,869,881,893,905,912,921,932,1306,95 d/u/a.java, line(s) 238,347,401 d/y/f.java, line(s) 75,363,370,508 e/d/a/c.java, line(s) 239,277,284 e/d/a/j/a.java, line(s) 298 e/d/a/k/d.java, line(s) 89,117 e/d/a/k/e.java, line(s) 60,76,93 e/d/a/l/j/b.java, line(s) 46 e/d/a/l/j/j.java, line(s) 85,107,109,115,122 e/d/a/l/j/l.java, line(s) 47 e/d/a/l/j/o/c.java, line(s) 95 e/d/a/l/j/o/e.java, line(s) 52,93 e/d/a/l/k/a0/e.java, line(s) 34,40,66,76,87 e/d/a/l/k/a0/i.java, line(s) 99 e/d/a/l/k/b0/a.java, line(s) 116,113 e/d/a/l/k/b0/b.java, line(s) 38,37 e/d/a/l/k/h.java, line(s) 326,340,504 e/d/a/l/k/i.java, line(s) 56 e/d/a/l/k/k.java, line(s) 16 e/d/a/l/k/y.java, line(s) 109 e/d/a/l/k/z/j.java, line(s) 131,172 e/d/a/l/k/z/k.java, line(s) 104,116,135,142,168,186,196,211,220 e/d/a/l/l/c.java, line(s) 15 e/d/a/l/l/d.java, line(s) 39 e/d/a/l/l/f.java, line(s) 93 e/d/a/l/l/s.java, line(s) 86 e/d/a/l/l/t.java, line(s) 36 e/d/a/l/m/a.java, line(s) 78 e/d/a/l/m/d/a0.java, line(s) 164 e/d/a/l/m/d/c.java, line(s) 51,66 e/d/a/l/m/d/d.java, line(s) 14 e/d/a/l/m/d/k.java, line(s) 100,176,197,341,421,445,466 e/d/a/l/m/d/l.java, line(s) 40,46 e/d/a/l/m/d/p.java, line(s) 122 e/d/a/l/m/d/y.java, line(s) 123,126,136,143,148 e/d/a/l/m/h/a.java, line(s) 68,88,93,98 e/d/a/l/m/h/d.java, line(s) 21 e/d/a/l/m/h/j.java, line(s) 36 e/d/a/m/e.java, line(s) 33,64,78 e/d/a/m/f.java, line(s) 11 e/d/a/m/k.java, line(s) 186 e/d/a/m/m.java, line(s) 90 e/d/a/n/e.java, line(s) 51,56,59,65,70 e/d/a/p/i.java, line(s) 18 e/d/a/p/k/d.java, line(s) 47,129 e/d/a/p/k/k.java, line(s) 48,130 e/d/a/q/b.java, line(s) 18 e/d/a/r/l/a.java, line(s) 59 e/f/a/a/b/a/b.java, line(s) 43,81,40,49,54,78,87,100 e/g/a/x/b.java, line(s) 21 e/h/a/o/g/a.java, line(s) 22 e/j/a/j/m/h.java, line(s) 28 e/j/a/j/m/l.java, line(s) 22,23 e/m/a/m/a.java, line(s) 89,197 e/m/a/m/b.java, line(s) 93,96,203,210 e/m/a/n/a.java, line(s) 99,113 e/m/a/n/f.java, line(s) 314,316,326,331,334,341,352,372,375,407,417,427,439,442 e/o/a/m/e/d.java, line(s) 138,178 j/i0/b.java, line(s) 367 j/i0/j/i/c.java, line(s) 43,83,83 l/b/a/c.java, line(s) 173,182,184 n/a/a/a.java, line(s) 125,129 n/a/a/e.java, line(s) 131,130
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/pandora/o147/module/mine/share/ShareFragment.java, line(s) 4,250,275
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: e/j/a/g/f/l.java, line(s) 39,39 e/j/a/g/f/m.java, line(s) 31,155,30,29,29,153,153 e/j/a/j/n/r/e.java, line(s) 101,101 j/i0/j/c.java, line(s) 113,111,110 j/i0/j/d.java, line(s) 128,116,139,125,125,127 j/i0/j/g.java, line(s) 113,111,110,110 j/i0/j/h.java, line(s) 231,218,228,228
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (livepull.myqcloud.com) 通信。
{'ip': '101.226.153.18', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (playvideo.qcloud.com) 通信。
{'ip': '119.45.78.99', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tcdns.myqcloud.com) 通信。
{'ip': '119.45.78.99', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yingtaoapi.lubei10000.com) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': 'i\x06Takeda\x06Takefu\x08Takehara\x07Takeley\x05Takeo\x08Takestan\x06Takhli\x04Taki\x0cTakia Batpur\x08Takikawa\tTakimachi\x07Takkobu\x0bTakoma Park\x08Ta', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (appconfig-1309110964.cos.accelerate.myqcloud.com) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.o147.com) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v2api.3xx.info) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v2api.3xx.live) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (livepullipv6.myqcloud.com) 通信。
{'ip': '119.147.190.45', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dashif.org) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aomedia.org) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (soconfig-1309110964.cos.accelerate.myqcloud.com) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vodreport.qcloud.com) 通信。
{'ip': '58.222.30.203', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (1255566655.vod2.myqcloud.com) 通信。
{'ip': '58.222.36.136', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}