应用安全检测报告

应用安全检测报告，支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

Supper Sanah v1.0.0

Android APK aa137cc1...

安全评分

安全基线评分

61/100

低风险

综合风险等级

风险等级评定

应用安全状况良好，可正常使用

漏洞与安全项分布

0 高危

10 中危

4 信息

2 安全

隐私风险评估

第三方跟踪器

隐私安全
未检测到第三方跟踪器

检测结果分布

高危安全漏洞 0

中危安全漏洞 10

安全提示信息 4

已通过安全项 2

重点安全关注 0

中危安全漏洞应用已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用允许明文网络流量（如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等）。API 级别 27 及以下默认启用，28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护，攻击者可窃听或篡改传输数据。建议关闭明文流量，仅使用加密协议。

中危安全漏洞应用数据存在泄露风险

MANIFEST

未设置[android:allowBackup]标志
建议将 [android:allowBackup] 显式设置为 false。默认值为 true，允许通过 adb 工具备份应用数据，存在数据泄露风险。

中危安全漏洞 Service (com.AppInstitute.Plugins.LocalNotify.GeofencingReceiver) 未受保护。

MANIFEST

[android:exported=true]
检测到  Service 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Broadcast Receiver (nl.xservices.plugins.ShareChooserPendingIntent) 未受保护。

MANIFEST

[android:exported=true]
检测到  Broadcast Receiver 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Activity (com.adobe.phonegap.push.BackgroundHandlerActivity) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: com.AppInstitute.supperby.permission.BackgroundHandlerActivity [android:exported=true]
检测到  Activity 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞 Service (com.adobe.phonegap.push.FCMService) 未受保护。

MANIFEST

[android:exported=true]
检测到  Service 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
nl/xservices/plugins/SocialSharing.java, line(s) 220,217

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/adobe/phonegap/push/FCMService.java, line(s) 198,195
com/adobe/phonegap/push/PushConstants.java, line(s) 32,70,73,101

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
"firebase_database_url" : "https://appinst-fccd5.firebaseio.com"
"google_api_key" : "AIzaSyDv7StJxA2NtRlXhZVAqgxx6i8mHTPHVXc"
"google_app_id" : "1:687086195054:android:6a2ebde818723d9e"
"google_crash_reporting_api_key" : "AIzaSyDv7StJxA2NtRlXhZVAqgxx6i8mHTPHVXc"

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/AppInstitute/Plugins/CalendarPlugin.java, line(s) 37
com/AppInstitute/Plugins/ChildBrowser.java, line(s) 140,257,481,283,300,338
com/AppInstitute/Plugins/LocalNotify/GeofencingReceiver.java, line(s) 18,30,82
com/AppInstitute/Plugins/LocalNotify/GeofencingRegisterer.java, line(s) 63,81,90
com/AppInstitute/Plugins/LocalNotify/LocalNotification.java, line(s) 70,92,97,154,160
com/AppInstitute/Plugins/RunJavascript/RunJavascriptPlugin.java, line(s) 67,50,51
com/AppInstitute/supperby/MainActivity.java, line(s) 185,98,99
com/adobe/phonegap/push/BackgroundActionButtonHandler.java, line(s) 22,28,37
com/adobe/phonegap/push/BackgroundHandlerActivity.java, line(s) 48,49,50,51,89,41
com/adobe/phonegap/push/FCMService.java, line(s) 97,118,141,145,149,195,198,251,256,263,269,278,307,315,317,324,360,361,362,363,364,368,375,385,418,419,420,421,452,474,476,488,490,496,497,505,529,563,588,723,835,847,852,854,874,896,943,289,339,578,769,775,791,887,893,926,929
com/adobe/phonegap/push/PushDismissedHandler.java, line(s) 20
com/adobe/phonegap/push/PushHandlerActivity.java, line(s) 56,57,58,59,60,65,67,70,73,91,41
com/adobe/phonegap/push/PushPlugin.java, line(s) 89,97,476,739,746,124,283,378,450,453,121,139,296,425,506,527,543,562,584,606,629,651,673
com/phonegap/plugins/barcodescanner/BarcodeScanner.java, line(s) 146,158,194,101,123

安全提示信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

CODE

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
nl/xservices/plugins/SocialSharing.java, line(s) 5,375

安全提示信息应用程序可以写入应用程序目录。敏感信息应加密

CODE

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/adobe/phonegap/push/FCMService.java, line(s) 89

安全提示信息应用与Firebase数据库通信

FIREBASE

该应用与位于 https://appinst-fccd5.firebaseio.com 的 Firebase 数据库进行通信

已通过安全项 Firebase远程配置已禁用

FIREBASE

Firebase远程配置URL （ https://firebaseremoteconfig.googleapis.com/v1/projects/687086195054/namespaces/firebase:fetch?key=AIzaSyDv7StJxA2NtRlXhZVAqgxx6i8mHTPHVXc ） 已禁用。响应内容如下所示：

{
    "state": "NO_TEMPLATE"
}

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

Supper Sanah v1.0.0

Android APK

综合安全评分

低风险

导航菜单

应用安全检测报告

移动应用安全检测报告

Supper Sanah v1.0.0

安全基线评分

61/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

中危安全漏洞 应用已启用明文网络流量

中危安全漏洞 应用数据存在泄露风险

中危安全漏洞 Service (com.AppInstitute.Plugins.LocalNotify.GeofencingReceiver) 未受保护。

中危安全漏洞 Broadcast Receiver (nl.xservices.plugins.ShareChooserPendingIntent) 未受保护。

中危安全漏洞 Activity (com.adobe.phonegap.push.BackgroundHandlerActivity) 受权限保护，但应检查权限保护级别。

中危安全漏洞 Service (com.adobe.phonegap.push.FCMService) 未受保护。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密

安全提示信息 应用与Firebase数据库通信

已通过安全项 Firebase远程配置已禁用

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分总结

Supper Sanah v1.0.0

中危安全漏洞应用已启用明文网络流量

中危安全漏洞应用数据存在泄露风险

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

安全提示信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全提示信息应用程序可以写入应用程序目录。敏感信息应加密

安全提示信息应用与Firebase数据库通信

已通过安全项此应用程序没有隐私跟踪程序