移动应用安全检测报告:
安全基线评分
安全基线评分 37/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
3
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
5
中危安全漏洞
15
安全提示信息
1
已通过安全项
0
重点安全关注
3
高危安全漏洞 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危安全漏洞 Activity (.MainActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: net/youmi/android/a/a/c/i.java, line(s) 60,58
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: net/youmi/android/a/b/d/h.java, line(s) 32,48
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: net/joydao/spring2011/BrowserActivity.java, line(s) 202,12,13 net/youmi/android/banner/c.java, line(s) 80,5
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Activity (.MessagesActivity) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (.MessageReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Content Provider (.provider.MessageProvider) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (net.youmi.android.AdReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/alimama/mobile/csdk/umupdate/a/c.java, line(s) 168 net/joydao/spring2011/CardActivity.java, line(s) 164 net/joydao/spring2011/util/DBUtils.java, line(s) 51,190,194 net/youmi/android/a/a/d/a/a.java, line(s) 15 net/youmi/android/a/b/k/n.java, line(s) 9,15,28,44,55,66 net/youmi/android/c/a/g.java, line(s) 28,32,56,75,103 net/youmi/android/spot/j.java, line(s) 13 u/aly/bq.java, line(s) 167 u/aly/j.java, line(s) 56,60 u/upd/a.java, line(s) 167
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/alimama/mobile/csdk/umupdate/a/i.java, line(s) 18 com/alimama/mobile/csdk/umupdate/b/d.java, line(s) 17 net/youmi/android/a/a/g/c/k.java, line(s) 3 net/youmi/android/a/b/b/d.java, line(s) 3 net/youmi/android/a/b/d/h.java, line(s) 4 net/youmi/android/a/b/f/h.java, line(s) 3 net/youmi/android/offers/d/b/f.java, line(s) 8 u/aly/bw.java, line(s) 12 u/upd/g.java, line(s) 12
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: net/joydao/spring2011/provider/MessageProvider.java, line(s) 10,11,12,41,42,43,49,50,51 net/joydao/spring2011/util/DBUtils.java, line(s) 6,91,96,103,110 net/youmi/android/a/a/g/a/a/a.java, line(s) 6,76,153 net/youmi/android/a/a/g/a/a/b.java, line(s) 4,5,19,24 net/youmi/android/a/a/g/a/a/c.java, line(s) 7,324 net/youmi/android/a/a/g/a/a/d.java, line(s) 4,5,19,24 net/youmi/android/a/a/g/d/a/c.java, line(s) 4,5,24,29 net/youmi/android/a/a/g/e/b.java, line(s) 6,7,45 net/youmi/android/a/a/g/g/a.java, line(s) 4,5,19,24 net/youmi/android/a/a/g/g/b.java, line(s) 6,69 net/youmi/android/a/b/c/a.java, line(s) 6,7,364,369,370 net/youmi/android/b/c.java, line(s) 6,7,271,276 net/youmi/android/b/h.java, line(s) 6,7,205,210
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alimama/mobile/csdk/umupdate/a/j.java, line(s) 36 net/youmi/android/a/b/d/g.java, line(s) 22,37 net/youmi/android/a/b/d/h.java, line(s) 20,32,48 net/youmi/android/b/a/b.java, line(s) 16 u/aly/cd.java, line(s) 34,50,70 u/upd/n.java, line(s) 33,49,69
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: net/joydao/spring2011/provider/MessageColumn.java, line(s) 29 net/joydao/spring2011/util/DataUtils.java, line(s) 90,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,141,142,143,144,145,146,147,148,149,150,151,152,153,154,212 net/joydao/spring2011/util/TranslateUtils.java, line(s) 17
中危安全漏洞 IP地址泄露
IP地址泄露 Files: net/youmi/android/a/b/i/c.java, line(s) 142 net/youmi/android/a/b/i/i.java, line(s) 140 net/youmi/android/onlineconfig/ntp/a.java, line(s) 12,12,12,12,12,12,12,12,12,12,12,12,12,12 u/aly/t.java, line(s) 22
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: net/youmi/android/a/a/i/a/g.java, line(s) 104,60
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: net/youmi/android/a/a/i/a/g.java, line(s) 59,60
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_CHANNEL" : "wandoujia" 友盟统计的=> "UMENG_APPKEY" : "4d40dde83ea7a36f6c0792d2" 0a4144490c4b1b441603124a5f42484d09115d5b4c0a00401d17554d0d590b16 0256584b1f5e435f0d1c50564c5b5e5645014c405c5f0f5b085f 1c740c5146585e531f050417051e4f12461512715307505c C306239E75034d979DB1957AC06E4612 49205a5c460d58511b54564554494c410e0a554556070558514e4d7977767b367701225002770a5063500407500e2006095c0d740f07727472766749 929bb76e8110d1a70260af57b446ebc 0a4144490c4b1b560d11481359590a1a1f0b455f0b4a0b51464e10514b4d0b123b4c4507 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b411507164b41514d07565b05 CBD2998A3D5A4744BF128B91E1410DEA 0a4144490c4b1b560d11481359590a1a1f0b455f0b4a0b51464e10514b500716 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b45000a0e4b560d114b4f064c1f5d453e4d4005 545c094f4959110f5e4b025d194a1555444c4c42590a585b5754 0a4144490c4b1b441603124a5f42484d09115d5b4c0a00401d0016124b41514d005c433c104451004c55 0a4144490c4b1b441603124a5f42484d09115d5b4c0a00401d0009114b41514d145746 0a4144490c4b1b441603124a5f42484d09115d5b4c0a00401d121203101814514b5a5a0d03 4d480b14580d560751585c iVBORw0KGgoAAAANSUhEUgAAAEYAAABGBAMAAACDAP+3AAAAIVBMVEUAAAD9pxn9pxn9pxn9pxn9pxn9pxn9pxn9pxn9pxn9pxlbgtlYAAAACnRSTlMAoPAwFdNgkLBACW4d5gAAAIRJREFUSMftzaENgDAQheESCCRV6DosijABQzAFmgGYgQ0qMG9KeA2poncWcc/en++czcZ5WGONNdaknVNuuv07acY1N+FaCg0PqakQC79mrG8T0BeamhCbjowAsdnICNDTtGQE6PAQGULRQ2YIBcgMIYCMAoGMApHRIDIaNDh9i7P9dzdh+TgsiueHWgAAAABJRU5ErkJggg== 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b45000a0e4b560d114b4f064c025141 e298a29c3e4ed1313f3a82588d004ffd 0a4144490c4b1b56111103104b1b1f5905005e1c0c01111b5d0700071618030d1716590a1640464f50440c5c 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b04405e13 0e1540480e4d1e545b43195642481b5a140850185b03121f56000d5651401b100719160647 CEF2F5AD195541b7AD8E8B0E2F44B42D DD2E1AD5215B757A908C48D980702694 e298a29c3e4ed1313f3a82588d004ffa 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b411507164b41514d0d575c17 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b04505a0f 0a4144490c4b1b56174c1f0b4d580f1a0801441d0d020351404e070d1718110e0d5c5b174b5c410c54 0a4144490c4b1b560d11481359590a1a1f0b455f0b4a0b51464e10514b450713 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b411507164b560d114b4f064c155a46 0e1540480e4d1e471a495844580f4c5b0411165956020f491b000c4b1b440549415315 aHR0cDovL3QueW91bWkubmV0L3YxL2JhdGNoX2V2ZW50 46C02DF8DF4C4C18A578C63449C7F64D CE94557724F842149D690D0E8CBB1CBD a13aa5059675e8b8242a7b02292cc6ce 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b14564702 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b411507164b41514d005c433c104451004c55 0a4144490c4b1b431003050f16510b44481d5f470f0d4b5a571549145518030c004b5a0a011b45005b5b00575612 0a4144490c4b1b500e0d0405541b1f4d0714591c0c01111b45000a0e4b560d114b4f064c175144 C97CE45F9A5A447c98BBB83D88790503 C6B3C3CCC45547a19B55700AC7C85B9B 555b5f1f185a10080a1b53551d59065d46534b5b1b4758095e5b5b53 B77BA25E94FF190AFD2ABAFACE2F7904 0a4144490c4b1b56111103104b1b1f5905005e1c0c01111b5d0700071618030d1716460f0c515b151658155d5f 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b155b41 a2981b001b8df1dcf502f906f97a82 4a45574c6f545557505d3d5d460a5d6b56580812535a15 0a4144490c4b1b56174c1f0b4d580f1a0801441d0d020351404e070d17180e0b174d464d0d40580d aHR0cDovL3QuZ2xvYmFsLnl5YXBpLm5ldC92MS9iYXRjaF9ldmVudA== 0e1540480e4d1e471a495844580f4c5b0411165956020f491b000c4b1b440549575f A33E523A1CEF496dB37ABD886CBCB005 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b055f5d DD5E8CD46CF94B22BAAD68AB06710752 aca5522945c72310f9f22b333c68f2b3 417e606d53634d5101080a517928555d 4040724c5d4f565a6a42005a622f5d7f F1B19978F3D74302BA126760F96262CD 0e1540480e4d1e471a495844580f4c5b041116454509121f550e101742001b025a
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/alimama/mobile/MMAdView.java, line(s) 62 com/alimama/mobile/csdk/umupdate/a/b.java, line(s) 63 com/alimama/mobile/csdk/umupdate/a/g.java, line(s) 25,36,40,31,19,44,48,52,56 com/alimama/mobile/csdk/umupdate/a/j.java, line(s) 70 com/alimama/mobile/csdk/umupdate/models/Promoter.java, line(s) 343 net/joydao/spring2011/AdsActivity.java, line(s) 25,30,35 net/joydao/spring2011/provider/MessageProvider.java, line(s) 48 net/youmi/android/a/b/f/l.java, line(s) 43 net/youmi/android/b/h.java, line(s) 167 net/youmi/android/c/a/b.java, line(s) 28 net/youmi/android/c/a/k.java, line(s) 78 net/youmi/android/c/a/l.java, line(s) 32 net/youmi/android/spot/SpotManager.java, line(s) 233 net/youmi/android/spot/k.java, line(s) 34 u/aly/br.java, line(s) 37,43,22,28,30,10,16,49,55,61,67,69 u/upd/b.java, line(s) 37,43,22,28,30,10,16,49,55,61,67,69
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.310win.com) 通信。
{'ip': '106.11.130.216', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '肇庆', 'latitude': '23.051760', 'longitude': '112.459717'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (w.m.taobao.com) 通信。
{'ip': '106.11.130.216', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.joydao.net) 通信。
{'ip': '180.153.100.46', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}