コーナー v4.3.7版本 - 安全评分 _南明离火移动安全分析平台

高危应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/fakerandroid/boot/Criptx.java, line(s) 23

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

CODE

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/fakerandroid/boot/Criptx.java, line(s) 20,41

高危不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

CODE

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/imacapp/home/ui/activity/KitCustomWebViewActivity.java, line(s) 100,99
com/imacapp/home/ui/activity/KitWebViewActivity.java, line(s) 82,81
com/imacapp/home/web/KitWebViewClient.java, line(s) 102,101

中危应用程序数据存在被泄露的风险

MANIFEST

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true，允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity设置了TaskAffinity属性

MANIFEST

()
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Broadcast Receiver (com.wind.im.push.receiver.VivoPushMessageReceiverImpl) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.PingReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.wind.im.push.receiver.XiaomiPushMessageReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.wind.im.push.receiver.MeizuPushServerMsgReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity设置了TaskAffinity属性

MANIFEST

()
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Broadcast Receiver (com.meizu.cloud.pushsdk.SystemReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushMsgReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushReceiver) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity设置了TaskAffinity属性

MANIFEST

()
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性

MANIFEST

()
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性

MANIFEST

()
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/danikula/videocache/StorageUtils.java, line(s) 22,39
com/download/library/Downloader.java, line(s) 115
com/imacapp/videoplayer/SimplePlayActivity$3.java, line(s) 25
com/just/agentweb/AgentWebUtils.java, line(s) 157,441
com/lzy/okgo/convert/FileConvert.java, line(s) 27,43
com/wind/imlib/utils/UriUtils.java, line(s) 183,118,121,306
com/yalantis/ucrop/util/FileUtils.java, line(s) 52

中危 IP地址泄露

CODE

IP地址泄露


Files:
com/danikula/videocache/HttpProxyCacheServer.java, line(s) 29
com/fakerandroid/boot/CheckUntil.java, line(s) 56
com/wind/im/BuildConfig.java, line(s) 6,9
com/wind/im/MainActivity.java, line(s) 70,79
org/android/spdy/SpdyRequest.java, line(s) 25,51,70,93,118,138,164,183,206,231

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/jeremyliao/liveeventbus/ipc/IpcConst.java, line(s) 6
com/lzy/okgo/cache/CacheEntity.java, line(s) 13,85
com/lzy/okgo/exception/CacheException.java, line(s) 7,11
com/wind/imlib/db/manager/CommSettingManager.java, line(s) 10,12
com/wind/imlib/db/manager/GroupManager.java, line(s) 8
com/wind/imlib/provider/DBMessageProvider.java, line(s) 63
com/wind/kit/KitRoutePath.java, line(s) 88,87,13
com/wind/kit/bean/KitCommKey.java, line(s) 4
com/wind/kit/ui/widget/WindCodeInputView.java, line(s) 22
org/android/spdy/SpdyProtocol.java, line(s) 43

中危 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/danikula/videocache/ProxyCacheUtils.java, line(s) 70
com/download/library/DownloadTask.java, line(s) 457
com/download/library/Downloader.java, line(s) 345,351,449
com/download/library/Runtime.java, line(s) 259,277
com/just/agentweb/AgentWebUtils.java, line(s) 737
com/wind/imlib/utils/KitDeviceUtils.java, line(s) 84

中危应用程序使用不安全的随机数生成器

CODE

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/fakerandroid/boot/CheckUntil.java, line(s) 8
com/imacapp/moment/widget/liked/ShineView.java, line(s) 13
com/imacapp/wind/vm/RegisterUserInfoViewModel.java, line(s) 16
org/android/spdy/SpdyBytePool.java, line(s) 3

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,28
com/lzy/okgo/db/DBHelper.java, line(s) 4,5,44,45,46,47,53,56,59,62
com/lzy/okgo/db/DBUtils.java, line(s) 4,12,40,75

中危 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/wind/imlib/connect/http/interceptor/SignHeaderInterceptor.java, line(s) 75
org/repackage/a/a/a/a/c.java, line(s) 58

中危可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

CODE

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/just/agentweb/AbsAgentWebSettings.java, line(s) 61,39

中危应用程序包含隐私跟踪程序

TRACKERS

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

中危此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
aHR0cHM6Ly8xMjAuMjQuMjUzLjEwOjMxODEvbG9ncy9qbGFmbmRkMHE=
aHR0cHM6Ly8xMTEuMjMwLjEwMC44MjozMTgxL2xvZ3MvamxhZm5kZDBx
aHR0cHM6Ly9qYXNoenhqY2dzYWpnc2RidC4xYjBxdWxzZGk5LmNvbToyMDk2L2xvZ3MvamxhZm5kZDBx
aHR0cHM6Ly8xMTEuMjMwLjY4Ljg6MzE4MS9sb2dzL2psYWZuZGQwcQ==
aHR0cHM6Ly8xMjAuMjQuMjUyLjE1NzozMTgxL2xvZ3MvamxhZm5kZDBx
55e92a2be29cc6f1ea4d146fb9e6045d
f3423b38048b29b9e7bfec5c73e51ca1

信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/bingoogolapple/qrcode/core/BGAQRCodeUtil.java, line(s) 43,49
com/afollestad/materialdialogs/list/DialogListExtKt.java, line(s) 83
com/afollestad/materialdialogs/list/DialogSingleChoiceExtKt.java, line(s) 47
com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 50,57,63,28,39
com/download/library/DownloadSubmitterImpl.java, line(s) 35
com/download/library/Runtime.java, line(s) 253,220,226
com/fakerandroid/boot/Logger.java, line(s) 10
com/imacapp/home/web/KitWebViewClient.java, line(s) 192
com/imacapp/home/web/MiddlewareChromeClient.java, line(s) 10,16
com/imacapp/home/web/MiddlewareWebViewClient.java, line(s) 19,31
com/imacapp/home/web/UIController.java, line(s) 18
com/imacapp/home/widget/CoolIndicator.java, line(s) 154,233,263,369
com/imacapp/moment/widget/liked/PorterImageView.java, line(s) 135
com/imacapp/moment/widget/liked/ShineButton.java, line(s) 248,256
com/imacapp/wind/vm/RegisterInviteViewModel.java, line(s) 70
com/jeremyliao/liveeventbus/logger/DefaultLogger.java, line(s) 21,39,11,29,19,37,23,41,15,33
com/just/agentweb/AgentWebUtils.java, line(s) 350,330,343,362,363
com/just/agentweb/AgentWebView.java, line(s) 68,186,200,221,56,60,232
com/just/agentweb/DefaultChromeClient.java, line(s) 170,175
com/just/agentweb/JsCallJava.java, line(s) 186,67,43,80
com/just/agentweb/JsCallback.java, line(s) 46
com/just/agentweb/LogUtils.java, line(s) 31,35,40,17,23
com/lxj/xpopup/core/BasePopupView$1$1.java, line(s) 20
com/lxj/xpopup/widget/SmartDivider.java, line(s) 27
com/lzy/okgo/utils/OkLogger.java, line(s) 34,64,44,24,54
com/wind/im/push/badge/ShortcutBadger.java, line(s) 72,132,141,69,103,110,131,116
com/wind/im/push/client/XiaomiPushClient.java, line(s) 31
com/wind/imlib/utils/KitReleaseLogUtils.java, line(s) 531,586,660
com/wind/imlib/utils/UriUtils.java, line(s) 347
com/wind/kit/ui/widget/WindSwipeMenuLayout.java, line(s) 228
com/wind/kit/ui/widget/inputkeyboard/KitMessageExtraViewManager.java, line(s) 32,166,173,204,145,181
com/wind/kit/ui/widget/inputkeyboard/KitMessageRootHandler.java, line(s) 31,42,48,52
com/wind/kit/utils/KitKeyBoardUtils.java, line(s) 117,177,213
com/wind/kit/utils/KitSystemUtils.java, line(s) 31
com/yalantis/ucrop/UCropActivity.java, line(s) 112
com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 150,163,190,129
com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 126,146,87,90,132,139
com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 104,52,83
com/yalantis/ucrop/util/EglUtils.java, line(s) 27
com/yalantis/ucrop/util/FileUtils.java, line(s) 60
com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 57,64,75,83,115,125,137,151,165,171,175,180,186,190,231,237,250,257,264,277,290,297,304,56,63,74,82,114,124,136,150,164,170,174,179,185,189
com/yalantis/ucrop/view/TransformImageView$1.java, line(s) 27
com/yalantis/ucrop/view/TransformImageView.java, line(s) 196,213,69
me/jessyan/autosize/AutoSize.java, line(s) 168
me/jessyan/autosize/AutoSizeConfig.java, line(s) 108,125,134,199
me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 20,30,33,14,27
me/jessyan/autosize/utils/AutoSizeLog.java, line(s) 23,35,29
np/manager/KillSignerApplication929.java, line(s) 70,68
org/android/spdy/NetTimeGaurd.java, line(s) 32,42
org/android/spdy/ProtectedPointerTest.java, line(s) 12,19,37
org/android/spdy/spduLog.java, line(s) 12,54,26,19,33,40,47
pub/devrel/easypermissions/EasyPermissions.java, line(s) 138,140,34
pub/devrel/easypermissions/helper/ActivityPermissionHelper.java, line(s) 36
pub/devrel/easypermissions/helper/BaseSupportPermissionsHelper.java, line(s) 20
timber/log/Timber.java, line(s) 516,534
top/zibin/luban/Checker.java, line(s) 70,90,96,121,129
top/zibin/luban/Luban.java, line(s) 85,84

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

CODE

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/imacapp/message/ui/KitGroupMessageActivity$3.java, line(s) 4,41
com/imacapp/message/ui/KitMassSendMessageActivity.java, line(s) 4,294
com/imacapp/message/ui/KitUserMessageActivity.java, line(s) 4,286
com/wind/kit/utils/KitKeyBoardUtils.java, line(s) 6,41

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/danikula/videocache/HttpUrlSource.java, line(s) 134,130,136
com/fakerandroid/boot/SSLSocketClient.java, line(s) 60,23,59,58,58
com/lzy/okgo/https/HttpsUtils.java, line(s) 133,82,99,132,120,131,131
com/wind/imlib/connect/http/HttpConnection.java, line(s) 39,39

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.sina.com.cn) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '云南', 'city': '昆明', 'latitude': '25.038891', 'longitude': '102.718330'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (httpdns.bcelive.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '河北', 'city': '保定', 'latitude': '38.851109', 'longitude': '115.490280'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p5.a.yximgs.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '连云港', 'latitude': '34.600025', 'longitude': '119.166847'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apidns.kwd.inkuai.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (t2.xiaohongshu.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '连云港', 'latitude': '34.600025', 'longitude': '119.166847'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (edith.xiaohongshu.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api2.e.kuaishou.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '-', 'city': '-', 'latitude': '39.907501', 'longitude': '116.397232'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk-open-phone.getui.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p2.a.yximgs.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.xiaohongshu.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yoda.kwd.inkuai.com) 通信。

DOMAINS

{'ip': '172.86.122.62', 'country_short': 'CN', 'country_long': '中国', 'region': '-', 'city': '-', 'latitude': '39.907501', 'longitude': '116.397232'}

安全分析报告： コーナー v4.3.7

安全分数

安全分数 47/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危 应用程序数据存在被泄露的风险

中危 Activity设置了TaskAffinity属性

中危 Broadcast Receiver (com.wind.im.push.receiver.VivoPushMessageReceiverImpl) 未被保护。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.PingReceiver) 未被保护。

中危 Broadcast Receiver (com.wind.im.push.receiver.XiaomiPushMessageReceiver) 未被保护。

中危 Broadcast Receiver (com.wind.im.push.receiver.MeizuPushServerMsgReceiver) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。

中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。

中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。

中危 Activity设置了TaskAffinity属性

中危 Broadcast Receiver (com.meizu.cloud.pushsdk.SystemReceiver) 未被保护。

中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushMsgReceiver) 未被保护。

中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushReceiver) 未被保护。

中危 Activity设置了TaskAffinity属性

中危 Activity设置了TaskAffinity属性

中危 Activity设置了TaskAffinity属性

中危 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危 IP地址泄露

中危 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 MD5是已知存在哈希冲突的弱哈希

中危 应用程序使用不安全的随机数生成器

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危 SHA-1是已知存在哈希冲突的弱哈希

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危 应用程序包含隐私跟踪程序

中危 此应用可能包含硬编码机密信息

信息 应用程序记录日志信息,不得记录敏感信息

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.sina.com.cn) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (httpdns.bcelive.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p5.a.yximgs.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apidns.kwd.inkuai.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (t2.xiaohongshu.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (edith.xiaohongshu.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api2.e.kuaishou.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk-open-phone.getui.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p2.a.yximgs.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.xiaohongshu.com) 通信。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yoda.kwd.inkuai.com) 通信。

安全评分: ( コーナー 4.3.7)

安全分析报告：コーナー v4.3.7

高危应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

高危应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。

高危不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

中危应用程序数据存在被泄露的风险

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危应用程序使用不安全的随机数生成器

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

中危应用程序包含隐私跟踪程序

中危此应用可能包含硬编码机密信息

信息应用程序记录日志信息,不得记录敏感信息

信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (login.sina.com.cn) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (httpdns.bcelive.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p5.a.yximgs.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apidns.kwd.inkuai.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (t2.xiaohongshu.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.yximgs.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (edith.xiaohongshu.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api2.e.kuaishou.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk-open-phone.getui.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (p2.a.yximgs.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.xiaohongshu.com) 通信。

关注应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yoda.kwd.inkuai.com) 通信。