安全分析报告:
安全分数
安全分数 48/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
4
用户/设备跟踪器
调研结果
高危
2
中危
25
信息
1
安全
1
关注
10
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: cn/joystars/jrqx/ui/app/activity/CommonWebViewActivity.java, line(s) 190,189
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (cn.joystars.jrqx.ui.MainTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.sina.weibo.sdk.share.ShareTransActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.mob.id.MobIDSYActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.mob.guard.MobTranPullLockActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.mob.MobACService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.mob.id.MobIDActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.mob.id.MobIDService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.mob.guard.MobTranPullUpActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.mob.guard.MobGuardPullUpService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.mob.tools.MobUIShell) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.sharesdk.loopshare.LoopShareActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (cn.joystars.jrqx.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.sharesdk.tencent.qq.ReceiveActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/joystars/jrqx/util/Md5Encoder.java, line(s) 12 com/baidu/b/d/b.java, line(s) 26 com/danikula/videocache/ProxyCacheUtils.java, line(s) 71
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cn/joystars/jrqx/cache/FileHelper.java, line(s) 70,70,78,78,110 cn/joystars/jrqx/util/video/PictureUtils.java, line(s) 65,65 com/baidu/b/g.java, line(s) 26,80,82 com/baidu/vi/VDeviceAPI.java, line(s) 82,87 com/danikula/videocache/StorageUtils.java, line(s) 18,35 com/yalantis/ucrop/util/FileUtils.java, line(s) 190 top/zibin/luban/LubanUtils.java, line(s) 27,29
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,28
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: cn/joystars/jrqx/app/Constant.java, line(s) 4,5 cn/joystars/jrqx/app/UmengAgent.java, line(s) 9 cn/joystars/jrqx/cache/sp/SpConstant.java, line(s) 35
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: cn/joystars/jrqx/ui/app/activity/CommonWebViewActivity.java, line(s) 96,87 cn/joystars/jrqx/widget/webview/WVJBWebView.java, line(s) 1323,1298
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/b/d/c.java, line(s) 9 com/baidu/sec/privacy/d/d.java, line(s) 233 org/repackage/a/a/a/a/c.java, line(s) 59
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: cn/joystars/jrqx/ui/home/view/ShortVideoPlayer.java, line(s) 22 cn/joystars/jrqx/widget/shinebutton/ShineView.java, line(s) 15 com/baidu/b/c/b/b.java, line(s) 7
中危 IP地址泄露
IP地址泄露 Files: com/danikula/videocache/HttpProxyCacheServer.java, line(s) 31
中危 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度地图的=> "com.baidu.lbsapi.API_KEY" : "WBUvwZyslpABYg5MGwkmvKsBB5uqqWuz" MobTech(袤博科技) 推送SDK的=> "Mob-AppKey" : "34f4b017f73a4" 友盟统计的=> "UMENG_APPKEY" : "61cd5d49e014255fcbd0e67f" MobTech(袤博科技) 推送SDK的=> "Mob-AppSecret" : "9c2d407104379d21b399775628b8bf48" 友盟统计的=> "UMENG_CHANNEL" : "tencent" "ssdk_weibo_oauth_regiseter" : "Authorization" "mobcommon_authorize_dialog_accept" : "Accept" "ssdk_instapaper_pwd" : "Password" "mobcommon_authorize_dialog_reject" : "Reject" ae40358f367b2f3675172d03d9cfc97c 61cd5d49e014255fcbd0e67f 35fc93c52ea58818dfd11e677139d3ac 1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/joystars/jrqx/cache/FileHelper.java, line(s) 368 cn/joystars/jrqx/util/ImageUtils.java, line(s) 428 cn/joystars/jrqx/util/LogUtils.java, line(s) 27,21,9,33,15 cn/joystars/jrqx/util/video/VideoExtractFrameAsyncUtils.java, line(s) 30 cn/joystars/jrqx/widget/LineDividerItemDecoration.java, line(s) 27 cn/joystars/jrqx/widget/ToastCompat.java, line(s) 65 cn/joystars/jrqx/widget/shinebutton/PorterImageView.java, line(s) 139 cn/joystars/jrqx/widget/shinebutton/ShineButton.java, line(s) 262,270 cn/joystars/jrqx/widget/vehicleedittext/VehicleKeyboardHelper.java, line(s) 203 com/baidu/b/c.java, line(s) 143,150 com/baidu/b/g.java, line(s) 40 com/contrarywind/view/WheelView.java, line(s) 342 com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 50,57,63,28,39 com/yalantis/ucrop/UCropActivity.java, line(s) 178 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 196,131 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 130,152,91,94,136,143 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 194,54,137,139,173 com/yalantis/ucrop/util/EglUtils.java, line(s) 23 com/yalantis/ucrop/util/FileUtils.java, line(s) 162,198 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 59,66,77,85,117,127,139,153,167,173,177,182,188,192,283,289,302,309,316,326,344,352,357,370,378,394,411,424,431,438,58,65,76,84,116,126,138,152,166,172,176,181,187,191 com/yalantis/ucrop/view/TransformImageView.java, line(s) 269,286,160,84 io/microshow/rxffmpeg/RxFFmpegCommandList.java, line(s) 40 org/greenrobot/eventbus/Logger.java, line(s) 33,38 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 184 top/zibin/luban/Checker.java, line(s) 61,81,87,112,120 top/zibin/luban/Luban.java, line(s) 92,91 top/zibin/luban/LubanUtils.java, line(s) 63 top/zibin/luban/io/LruArrayPool.java, line(s) 86,124,87,125
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: cn/joystars/jrqx/http/ApiFactory.java, line(s) 38,38,42 com/danikula/videocache/HttpUrlSource.java, line(s) 185,182,187
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (weibo.com) 通信。
{'ip': '223.109.148.176', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.qiniu.com) 通信。
{'ip': '223.109.148.176', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.applink.mob.com) 通信。
{'ip': '223.109.148.176', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.weibo.cn) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (service.weibo.com) 通信。
{'ip': '185.199.109.153', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.com) 通信。
{'ip': '223.109.148.176', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.mob.com) 通信。
{'ip': '45.113.201.237', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.joystars.cn) 通信。
{'ip': '39.96.64.120', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (upload.joystars.cn) 通信。
{'ip': '122.228.207.53', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '温州', 'latitude': '27.999420', 'longitude': '120.666817'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '223.109.148.176', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}