安全分析报告:
安全分数
安全分数 36/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
3
中危
2
信息
0
安全
1
关注
0
高危 Activity (io.dcloud.PandoraEntry) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (io.dcloud.PandoraEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (io.dcloud.WebAppActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 DCLOUD的 "ApplicationId" : "plus.HBUR9ON9" DCLOUD的 "CHANNEL" : "common" DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "plus.HBUR9ON9|H51D098EB|120398240508|common" DCLOUD的 "AD_ID" : "120398240508" DCLOUD的 "APPID" : "H51D098EB" w7ljxIPHnMecxJFtUHJvdmlkZXJNYXDHnMecxJHFq8eYxIM= 7p+IZMSJx5zHnMSRZ2V0SW5zdGFuY2XHnMecxJHFq8eWxIk= x5RixInHnMecxJEvc3VjY2Vzcy5mbGFnx5zHnMSRw7llxIk= ZMO5xI3HnMecxJFsaWJqaWFndV94ODYuc2/HnMecxJHun4hmxI0= xavFq8SVx5zHnMSRL2xpYmppYWd1djEuc2/HnMecxJFkZcSB x5THlsSRx5zHnMSRdTR1bHIub255MDguZW5vYjLHnMecxJHDue6fiMSR x5xixIfHnMecxJFhbmRyb2lkLmNvbnRlbnQuQ29udGVudFByb3ZpZGVyx5zHnMSRx5TDucSH w7xhxInHnMecxJFtQ29udGV4dMecx5zEkcO6x5rEiQ== x5Tun4jEicWrYsSDMTczMTM2NTgzNzM2OcWrYsSDZcO8xIs= xavDusSHx5zHnMSRbGliamlhZ3VfNjQuc2/HnMecxJFmZMSH x5RhxIXFq2LEg2dldEFwcGxpY2F0aW9uSW5mb8WrYsSD7p+IYcSH x5zHmMSHx5zHnMSRamF2YXguY3J5cHRvLkNpcGhlcsecx5zEkcO5w7nEhw== w7lhxI/HnMecxJFhbmRyb2lkLmFwcC5Mb2FkZWRBcGvHnMecxJHHlMecxI8= YceaxIXHnMecxJFtQWxsQXBwbGljYXRpb25zx5zHnMSRZsecxIU= YcO5xIfHnMecxJFtUGFja2FnZUluZm/HnMecxJHDucO5xIc= x5bHlsSJx5zHnMSRbGliamlhZ3Uuc2/HnMecxJHHmsO6xIk= w7nHmMSRx5zHnMSRbUFwcGxpY2F0aW9ux5zHnMSRY8eWxJE= x5pixIPHnMecxJFyZXMvcmF3L2hiYTcwLnNvx5zHnMSRYsWrxIM= w7nHmsSVx5zHnMSRY3VycmVudEFjdGl2aXR5VGhyZWFkx5zHnMSR7p+Iw7zEgQ== 7p+Ix5bEhcecx5zEkW1Mb2NhbFByb3ZpZGVyx5zHnMSRZMeaxIU= 7p+IZsSDx5zHnMSRbUluaXRpYWxBcHBsaWNhdGlvbsecx5zEkcecY8SD xatmxI3HnMecxJFhbmRyb2lkLmFwcC5BcHBsaWNhdGlvbsecx5zEkWTFq8SN x5zHlMSPx5zHnMSRb25DcmVhdGXHnMecxJFmw7rEjw== w7nHmsSLx5zHnMSRY29tLmZyZXpyaWsuamlhZ3UuU3R1YkFwcMecx5zEkWHFq8SL w7rHnMSVx5zHnMSRbU1haW5UaHJlYWTHnMecxJHDvMeWxIE= xatlxIXHnMecxJEvdHJ5LmZsYWfHnMecxJFi7p+IxIU= ZMecxI/HnMecxJFkb0ZpbmFsx5zHnMSRw7xhxI8= x5jun4jEg8WrYsSDYW5kcm9pZC5jb250ZW50LnBtLlBhY2thZ2VNYW5hZ2VyxatixIPHlGTEhQ== YceUxIvFq2LEgzQ0NDQ0NDQ0NMWrYsSDw7rHnMSN ZcWrxIfHnMecxJEuamlhZ3XHnMecxJFix5TEhw== ZGTEi8ecx5zEkWxpYmppYWd1X3g4Nl82NC5zb8ecx5zEkceYYsSL ZWXEi8ecx5zEkUFFUy9DQkMvUEtDUzVQYWRkaW5nx5zHnMSRw7zHlMSL w7pixI3HnMecxJFhLiBjICAgx5zHnMSRw7pixI0= ZseYxJHHnMecxJFhbmRyb2lkLmFwcC5BY3Rpdml0eVRocmVhZMecx5zEkcO67p+IxJE= ZmTEh8WrYsSDTUFOSUZFU1QuTUbFq2LEg8O8x5TEiQ== YseaxIXHnMecxJF1dGY4x5zHnMSRw7pjxIU= w7rFq8SVx5zHnMSRUi5yYXcux5zHnMSRx5ZhxIE= YseUxJPHnMecxJFhbmRyb2lkLmFwcC5BY3Rpdml0eVRocmVhZMecx5zEkWRhxJM= x5hlxIPHnMecxJEvc3VjY2Vzcy5mbGFnx5zHnMSRxavDvMSD ZmPEicecx5zEkW1BcHBsaWNhdGlvbsecx5zEkcO5w7nEiQ== w7rHlsSLx5zHnMSRdTR1bHIub255MDguZW5vYjLHnMecxJFkY8SL x5bDusSTx5zHnMSRaGJhN8ecx5zEkcWr7p+IxJM= w7zun4jEi8ecx5zEkW1BcHBsaWNhdGlvbkluZm/HnMecxJFlYsSL YmHEj8ecx5zEkWFuZHJvaWQuYXBwLkxvYWRlZEFwa8ecx5zEkcO6w7zEjw== 7p+IZsSTx5zHnMSRY29tLmZyZXpyaWsuamlhZ3UuU3R1YkFwcMecx5zEkWLHlMST
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。