安全分析报告: Google Chrome v1.1

安全分数


安全分数 51/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 1
中危 12
信息 1
安全 1
关注 0

高危 应用程序使用了调试证书进行签名 

应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Broadcast Receiver (com.takestandc.p041y) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.takestandc.p029x) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BROADCAST_SMS [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.takestandc.p012k) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.takestandc.p074x) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.takestandc.p076w) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 高优先级的Intent (999) - {2} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/tanodxyz/gdownload/database/SQLiteManager.java, line(s) 5,6,48,55
com/tonyodev/fetch2/database/FetchDatabaseManagerImpl.java, line(s) 5,205,222

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/tanodxyz/gdownload/io/DefaultFileStorageHelper.java, line(s) 46,43,51
io/invertase/firebase/utils/ReactNativeFirebaseUtilsModule.java, line(s) 113,122,123,124

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/tonyodev/fetch2core/FetchCoreUtils.java, line(s) 267,292

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
io/invertase/firebase/common/TaskExecutorService.java, line(s) 14,15
io/invertase/firebase/messaging/ReactNativeFirebaseMessagingHeadlessService.java, line(s) 12,10
io/invertase/firebase/messaging/ReactNativeFirebaseMessagingSerializer.java, line(s) 19
io/invertase/googlemobileads/common/TaskExecutorService.java, line(s) 14,15

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
B3EEABB8EE11C2BE770B684D95219ECB
460643a974555d792b8f5a6e1a5d323c
946eca6b182e63ebe50cf82e483715bf

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/horcrux/svg/Brush.java, line(s) 135,146
com/horcrux/svg/ClipPathView.java, line(s) 33
com/horcrux/svg/ImageView.java, line(s) 131
com/horcrux/svg/LinearGradientView.java, line(s) 70
com/horcrux/svg/PatternView.java, line(s) 81
com/horcrux/svg/RadialGradientView.java, line(s) 82
com/horcrux/svg/UseView.java, line(s) 51,82,97
com/horcrux/svg/VirtualView.java, line(s) 392,327,360,364
com/swmansion/gesturehandler/react/RNGestureHandlerModule.java, line(s) 699
com/swmansion/gesturehandler/react/RNGestureHandlerRootHelper.java, line(s) 50,64
com/swmansion/gesturehandler/react/RNGestureHandlerRootView.java, line(s) 34
com/swmansion/reanimated/NativeMethodsHelper.java, line(s) 46
com/swmansion/reanimated/ReanimatedModule.java, line(s) 146
com/swmansion/reanimated/ReanimatedUIManagerFactory.java, line(s) 20
com/swmansion/reanimated/keyboard/WindowsInsetsManager.java, line(s) 42,61,81,116
com/swmansion/reanimated/layoutReanimation/AnimationsManager.java, line(s) 203,217
com/swmansion/reanimated/layoutReanimation/ReanimatedNativeHierarchyManager.java, line(s) 39
com/swmansion/reanimated/layoutReanimation/ScreensHelper.java, line(s) 17
com/swmansion/reanimated/layoutReanimation/SharedTransitionManager.java, line(s) 126
com/swmansion/reanimated/layoutReanimation/TabNavigatorObserver.java, line(s) 34,54,111
com/swmansion/reanimated/nativeProxy/NativeProxyCommon.java, line(s) 190
com/swmansion/reanimated/sensor/ReanimatedSensorContainer.java, line(s) 35
com/swmansion/rnscreens/ScreenStackHeaderConfigViewManager.java, line(s) 177
com/swmansion/rnscreens/ScreensModule.java, line(s) 45,91,48
com/tanodxyz/gdownload/DefaultLogger.java, line(s) 55,64,72,81
com/tonyodev/fetch2core/FetchLogger.java, line(s) 49,58,66,75
io/invertase/firebase/app/ReactNativeFirebaseApp.java, line(s) 16
io/invertase/firebase/app/ReactNativeFirebaseAppModule.java, line(s) 52
io/invertase/firebase/auth/ReactNativeFirebaseAuthModule.java, line(s) 94,100,119,122,130,136,159,165,176,207,218,225,232,240,252,265,276,289,291,301,314,325,338,349,362,373,380,396,407,418,430,445,458,473,486,506,519,539,552,567,580,595,618,629,642,665,681,692,750,755,760,765,771,812,836,952,997,1004,1015,1026,1040,1047,1057,1074,1084,1095,1106,1117,1127,1153,1167,1175,1177,1196,1241,1246,1251,1256,1263,1277,1295,1309,1328,1373,1378,1383,1388,1438,1453,1464,1479,1499,1509,1522,1548,1558,270,295,319,343,367,374,400,422,438,449,461,477,489,510,522,543,555,571,583,599,616,633,645,669,696,828,956,1008,1088,1110,1140,1182,1281,1313,1457,1492,1562
io/invertase/firebase/common/RCTConvertFirebase.java, line(s) 114
io/invertase/firebase/common/ReactNativeFirebaseEventEmitter.java, line(s) 130
io/invertase/firebase/common/SharedUtils.java, line(s) 86,265,323,123
io/invertase/firebase/messaging/ReactNativeFirebaseMessagingModule.java, line(s) 80
io/invertase/firebase/messaging/ReactNativeFirebaseMessagingReceiver.java, line(s) 21,42
io/invertase/firebase/utils/ReactNativeFirebaseUtilsModule.java, line(s) 70
io/invertase/googlemobileads/common/RCTConvert.java, line(s) 55
io/invertase/googlemobileads/common/ReactNativeApp.java, line(s) 14
io/invertase/googlemobileads/common/ReactNativeEventEmitter.java, line(s) 130
io/invertase/googlemobileads/common/SharedUtils.java, line(s) 75,256,314,112

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Google Chrome 1.1)