安全分析报告:
安全分数
安全分数 35/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
5
中危
6
信息
1
安全
1
关注
2
高危 Activity (io.dcloud.PandoraEntry) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (io.dcloud.PandoraEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (io.dcloud.WebAppActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/alipay/mobile/mascanengine/imagetrace/sec/AESUtil.java, line(s) 23,43
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/mpaas/aar/demo/api/BuildConfig.java, line(s) 3,6
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 26,27,29,61,121 com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alipay/mobile/mascanengine/imagetrace/sec/MD5Util.java, line(s) 18 com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25 com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 37
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alipay/mobile/mascanengine/imagetrace/sec/AESUtil.java, line(s) 63,70
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 DCLOUD的 "APPID" : "__UNI__644D0DA" 凭证信息=> "setting.logging.encryption.pubkey" : "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpffOiYcozIfgIiaOPWsmfktv7Sl/9Af3mIgYz7vkTXoGq4iMN+t5BLV6KjddVEI/9oLtAYV8qx7FhFrUoi3smcYfX35ETPUiHi1gLizeXKVSRYhIm2kiDF5lGfDgcS7uJZvmKjbdYy/RphnH+WQvQyeEH+4rjYSkdhIRE2W52BwIDAQAB" DCLOUD的 "AD_ID" : "126446290505" DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "com.zowiesoft.gdjyzhsy|__UNI__644D0DA|126446290505|" DCLOUD的 "ApplicationId" : "com.zowiesoft.gdjyzhsy" 凭证信息=> "mobilegw.appid" : "ALIPUB028F2AD250842" "dcloud_tips_certificate" : "certificate" "dcloud_permissions_reauthorization" : "reauthorize" 0eed2240150ad7f503cb38e909f381207
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69 androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 95,103,186,216 androidtranscoder/engine/QueuedMuxer.java, line(s) 96,98,106 androidtranscoder/engine/TextureRender.java, line(s) 50,62,63,78,82,100 androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 20 com/alipay/android/phone/scancode/export/adapter/MPScan.java, line(s) 44 com/alipay/camera/CameraConfigurationManager.java, line(s) 504 com/alipay/camera/base/AntCamera.java, line(s) 137,157,161,202,210,153 com/alipay/camera/base/CameraFocusPerformanceHelper.java, line(s) 26,52,70 com/alipay/camera/base/CameraPerformanceRecorder.java, line(s) 224 com/alipay/camera/base/CameraStateTracer.java, line(s) 80,83,106,109,119,122,133,136,147,150,171,174,213,221,230,232,255,275,303,99,112,126,140,164,186 com/alipay/camera/util/ManufacturerPermissionChecker.java, line(s) 31,39,64,75,88,54,56,58,60,62,78,80,82,84,86 com/alipay/camera/util/WalletBehaviorBury.java, line(s) 10,17,19,21,23 com/alipay/ma/b.java, line(s) 64,67,70,73,76,243,246,249,252,255 com/alipay/ma/decode/MaDecode.java, line(s) 130,647,652 com/alipay/ma/decode/MaSdkConfigManager.java, line(s) 22 com/alipay/mobile/mascanengine/imagetrace/sec/AESUtil.java, line(s) 30,50,75 com/alipay/mobile/mascanengine/imagetrace/sec/HybridEncryption.java, line(s) 98,52,62,83,93,110 com/alipay/mobile/mascanengine/imagetrace/sec/MD5Util.java, line(s) 22,25 com/alipay/mobile/mascanengine/imagetrace/sec/RSAUtil.java, line(s) 55,116 com/alipay/phone/scancode/b/a.java, line(s) 24 com/bun/miitmdid/core/MdidSdkHelper.java, line(s) 59,65 com/bun/miitmdid/core/Utils.java, line(s) 72,75,35,41,46 com/dmcbig/mediapicker/PreviewActivity.java, line(s) 260 com/mpaas/project/aar/convert/converter/FinalR.java, line(s) 11 master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56 tv/cjump/jni/DeviceUtils.java, line(s) 65 tv/cjump/jni/NativeBitmapFactory.java, line(s) 71,126
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (er.dcloud.net.cn) 通信。
{'ip': '118.89.168.191', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m3w.cn) 通信。
{'ip': '118.89.168.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江西', 'city': '赣州', 'latitude': '25.850000', 'longitude': '114.933327'}