安全分析报告: Вlue Cloud v413.9

安全分数


安全分数 51/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 13
信息 1
安全 1
关注 0

高危 缺少代码签名证书 

未找到代码签名证书

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (com.example.application.core.alarm.AlarmReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.example.application.core.telephony.sms.SmsReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.example.application.core.telephony.sms.DeliverySmsReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.example.application.core.WapPushReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity () 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service () 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Service () 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 Activity () 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
b/k/i/c/b/b/b.java, line(s) 85

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
-1ffac88c36087bf4fca6fb5e83593560
-74bc2fd060a7085e0fc54e7f1f8170028d7287d77d198e7f76431b8765940728c166bf68abd452f50342c90a27645a8d7cf41b734b71cc317c3a369c286f74df
-3c4d3989cb424a8ac454b629a21be9a3
-6bbf7d4d4becd0df328fde2e995f843e
-3f78b7a7305f02c5f3d07ac592ace6f6
-cd720d28abceee0c0d90c6c78a887753ec904205be90286042790972e3c2a3399b07fad733d124fce8a3d8a890efff65
-74bc2fd060a7085e0fc54e7f1f817002e7a9de397f96d24d70ec32472049c2741a193e99015ef0a379fdb161bfc615a6d22a5044e3b1d52ecb1cf44ad0d10936
-8832d4f6307a74401115e7a97315980ab933538a5c01f6a7c4e43df6ee60da23
-39fff3e1f5e6a470070eeb0147227b979e11a688d8a2752cfed346b9d768a45869a92d833f874d5cfad67a13b67deaa27155a77352dd604ad6629c79bbb2882a206ab1d03c23f19b5b3ea285d59f37b109b20f51194a4382393d50046ca38395
-cd720d28abceee0c0d90c6c78a887753d33a6795f9caf233dd84f84cc95542161bd89aad52e601f53d1c6428102852ee
-bd8e6915aac3bcab4372061ecba87c9e
-d9059c595ee5dc6175f5d81374bdd538a9f19e4b5741531400564c4f24129851
-922b6488ec0d75d2dce1f327677bad9e2a061cffdf4a206cfd047bf2f40cce7fbf0d8f4d5c2623b1c6d613bae917e3927b64827b083859fd96adc0ac25f8c88f
-8ddf788479353458b68f404bb07bafa2bcd0f0cfe373216f15dafb39da170d5f7596ae5a1f13dbdb094ae573d5315b6a13bb5fa7e8af70ffa8b51e47c9d1f5cc
-4aaa95a5f9e6bdb0ac5510d3b6329e6c
-eb57665369b6ecfd6e969a446a36b70a1ba9a954218c48fd2299db8708acec0d
-ade40786e2cea57cbb81d30eb9b5ae2b
-f954f675358fae194dd14c384c9f33c8
-ada80cf3c1efbd7018d7b8373c84615c
-5d9ddbe4e47436c37d6b69d88a25cb4e
-dc27b3bd5a7543fb0aa18c70f425151fe8920c95b7980360a94046e24a94d031
-dbe0b1a14c7c13fbf0ecc8345b5a82862fb91933ca01531b552fac5caead0a4b953b89681cc3f7fd2cee464500118921250405e80a479ffa50ec272707dc4f6e
-8f59dd812391a7879be79b33651eca5c
-df60895a1c1de4e6239a197d0e8463a6
-8a4f33a7835e352fc18477d664661508
-4ffafaf46ee3197ab815bf5ebe64e666
-401dc43fb354700a319bc0c85837dc453332809ff81c99e985db13e7ee2fe061cb3239af33381c838d9cd42947555e96
-a8814258adb54c9a47335109b9bde1ff
-f55498ed1a17a9e4f1cecf3d5af092a5
-eb57665369b6ecfd6e969a446a36b70a26decaaeea123044b2f4966f2a2a0876
-a2d18bfa949269649f586b18a3a80e426bee940fc1e683ed44d917b12ad33409533e753b40eb68756abe5c8368d5ab08779e46934aa14b10c3084f5e06b18a50
-743b9650bc8d60457bf8447298917938d529be036aff41b9c1bcb37f9c5f65dc
-7881c6cce7ec843a0dd604ed1cbfd970
-8ddf788479353458b68f404bb07bafa2bcd0f0cfe373216f15dafb39da170d5fc7a2ef7b444b4e12b39c8dcb03c948b8445524769ee287bf31a060f1f3fb509e113cb28bf2f3050e4843889e7be745bd

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/example/application/core/network/client/NetworkClient.java, line(s) 81

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Вlue Cloud 413.9)