移动应用安全检测报告:
安全基线评分
安全基线评分 48/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
1
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
2
中危安全漏洞
14
安全提示信息
1
已通过安全项
1
重点安全关注
7
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/domob/global/sdk/b/b.java, line(s) 411,415,10,11 com/domob/global/sdk/b/d.java, line(s) 588,592,12,13
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/mci/base/util/a.java, line(s) 49,52
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Activity (com.tahohana.operating.TVGAmKigbrgTY) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/domob/global/sdk/n/i.java, line(s) 110 com/inmobi/media/o3.java, line(s) 88,91,170,173 com/mci/base/g/f.java, line(s) 245 com/mci/base/http/HttpUtils.java, line(s) 36 com/mci/base/util/CommonUtils.java, line(s) 92
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/domob/global/sdk/c0/b.java, line(s) 33 com/inmobi/commons/core/configs/AdConfig.java, line(s) 387 com/inmobi/media/k0.java, line(s) 15 com/inmobi/unification/sdk/model/Initialization/TimeoutConfigurations.java, line(s) 27,49
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/domob/global/sdk/a0/a.java, line(s) 19 com/domob/global/sdk/a0/d.java, line(s) 8 com/domob/global/sdk/o/z.java, line(s) 17 com/inmobi/media/a1.java, line(s) 23 com/inmobi/media/f.java, line(s) 10 com/inmobi/media/f2.java, line(s) 4 com/inmobi/media/j9.java, line(s) 22 com/inmobi/media/x9.java, line(s) 12 com/mci/base/g/a.java, line(s) 11 com/mci/base/util/CommonUtils.java, line(s) 16
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/inmobi/media/gb.java, line(s) 2983,2923
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/domob/global/sdk/n/l.java, line(s) 10 com/mci/base/g/e.java, line(s) 112 com/mci/base/util/a.java, line(s) 47
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/inmobi/media/i3.java, line(s) 6,130,143
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 90d650d9df1309de652aacbef8228710 bce7815f8b285dceb1c1ee9e 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/domob/global/sdk/ads/DMAdSdk.java, line(s) 78,75 com/domob/global/sdk/ads/ui/RewardVideoPlayActivity.java, line(s) 776,844,197,129,240 com/domob/global/sdk/ads/ui/WebViewActivity.java, line(s) 59 com/domob/global/sdk/ads/utils/AdLog.java, line(s) 11,17,23,29,35,41 com/domob/global/sdk/b/a.java, line(s) 109 com/domob/global/sdk/b/b.java, line(s) 286,334 com/domob/global/sdk/b/c.java, line(s) 149,426 com/domob/global/sdk/b/d.java, line(s) 171,344,459 com/domob/global/sdk/b/e.java, line(s) 314,330 com/domob/global/sdk/i/a.java, line(s) 243,250,292,294 com/domob/global/sdk/n/m.java, line(s) 11,17,47,50,23,29,35,41 com/inmobi/media/d0.java, line(s) 57,63 com/inmobi/media/d7.java, line(s) 31,41,48,53,85,90,22,78,16,73 com/inmobi/media/f3.java, line(s) 76 com/inmobi/media/h0.java, line(s) 16,10 com/inmobi/media/x2.java, line(s) 165 com/inmobi/media/y3.java, line(s) 50 com/inmobi/media/z.java, line(s) 31 com/inmobi/media/za.java, line(s) 25,29 com/mci/base/bean/d.java, line(s) 109 com/mci/base/d/a.java, line(s) 102,175 com/mci/base/e/a.java, line(s) 35,116,125,183,186 com/mci/base/e/b.java, line(s) 67,68,142,145,164,174,191,222,226,244,288,292 com/mci/base/f/a.java, line(s) 31 com/mci/base/g/c.java, line(s) 28 com/mci/base/g/f.java, line(s) 693 com/mci/base/http/HttpUtils.java, line(s) 82,78 com/mci/base/http/a.java, line(s) 62,66,72 com/mci/commonplaysdk/BgsSdk.java, line(s) 928,934,854,1413,1452,1468,920,1395 com/mci/coresdk/CoreSdk.java, line(s) 33,80,103,590,597 com/mci/play/PlaySdkManager.java, line(s) 289,1395,1849,1997,169,190,766,770,774,809,826,830,836,873,938,943,950,986,1037,1061,1065,1111,1130,1134,1150,1179,1188,1267,1271,1275,1279,1511,1641,1669,1696,1700,1704,1715,1836,1886,1895,1899 com/mci/play/SWDataSource.java, line(s) 763,1548,1585,1693,2072,1984 com/mci/play/SWViewDisplay.java, line(s) 233,241,163,257,264 com/mci/play/Util.java, line(s) 248,315,84,86,107 com/mci/play/h.java, line(s) 126,162,164 com/mci/play/k/b.java, line(s) 293,319,455,481,571 com/mci/play/k/c/a.java, line(s) 104 com/mci/play/k/d/b.java, line(s) 350
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/domob/global/sdk/p/c.java, line(s) 306,305,304,304 com/inmobi/media/qa.java, line(s) 108,112
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ip2city.domob.cn) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.tencent.com) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (platform.armvm.com) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (stat.armvm.com) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ssp-dev-api.dmrtb.com) 通信。
{'ip': '120.48.179.61', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dmsdk-api.dmrtb.com) 通信。
{'ip': '114.111.24.201', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}