安全分析报告:
安全分数
安全分数 33/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
14
用户/设备跟踪器
调研结果
高危
12
中危
20
信息
2
安全
1
关注
0
高危 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危 Activity (com.bitmango.go.wordcookies.UnityPlayerActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.bitmango.go.wordcookies.UnityPlayerActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (23) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.facebook.unity.FBUnityAppLinkActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (23) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (23) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.facebook.CustomTabActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (23) 更新到 29 或更高版本以在平台级别修复此问题。
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/adcolony/sdk/bi.java, line(s) 120,126,27,28 com/adcolony/sdk/ca.java, line(s) 218,470,18,19 com/chartboost/sdk/impl/as.java, line(s) 49,5,6 com/chartboost/sdk/impl/br.java, line(s) 60,8 com/chartboost/sdk/impl/bs.java, line(s) 61,6,7
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/prime31/GoogleIABPluginBase.java, line(s) 105
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/prime31/InAppBilling/BuildConfig.java, line(s) 3,4
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/chartboost/sdk/impl/bs.java, line(s) 59,6,7 com/vungle/publisher/mt.java, line(s) 73,7
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/adcolony/sdk/co.java, line(s) 349,419,476
高危 应用程序包含隐私跟踪程序
此应用程序有多个14隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.facebook.unity.FBUnityAppLinkActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.facebook.FacebookContentProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.kochava.android.tracker.lite.ReferralCapture) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.bitmango.gcm.GCMBroadcastReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.google.firebase.iid.FirebaseInstanceIdService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.google.firebase.messaging.FirebaseMessagingService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/adcolony/sdk/ao.java, line(s) 155,161,162 com/applovin/impl/sdk/y.java, line(s) 150 com/bitmango/bitmangoext/NativeProxyActivity.java, line(s) 251,252 com/chartboost/sdk/Libraries/h.java, line(s) 91,496 com/vungle/publisher/env/AndroidDevice.java, line(s) 204 com/vungle/publisher/rf.java, line(s) 20
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/vungle/publisher/cf.java, line(s) 6,7,66,91,103
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/adcolony/sdk/au.java, line(s) 205 com/adcolony/sdk/bb.java, line(s) 30 com/adcolony/sdk/co.java, line(s) 231,913 com/chartboost/sdk/Libraries/b.java, line(s) 15
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/adcolony/sdk/aw.java, line(s) 205,145 com/adcolony/sdk/bi.java, line(s) 269,259 com/adcolony/sdk/ca.java, line(s) 199,435,196,787
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/adcolony/sdk/aw.java, line(s) 153,145 com/adcolony/sdk/bi.java, line(s) 257,259 com/adcolony/sdk/ca.java, line(s) 194,785,196,787 com/chartboost/sdk/impl/br.java, line(s) 32,24
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/adcolony/sdk/bg.java, line(s) 961 com/vungle/publisher/FullScreenAdActivity.java, line(s) 21,22 io/fabric/unity/android/BundleKitDataProvider.java, line(s) 13 io/fabric/unity/android/KitInstantiator.java, line(s) 7,8
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/adcolony/sdk/co.java, line(s) 290,312
中危 Firebase远程配置已启用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/694427261032/namespaces/firebase:fetch?key=AIzaSyBhYemRq-WIkKxtBRPbtfF08qn7m7AVFLs ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:
{
"entries": {
"ActionEventConfigDataSet": "[\n {\n \"key\": \"AEO_PTIME_CV30\",\n \"cv30BoundaryValue\": 30\n },\n {\n \"key\": \"AEO_SESS_CV30\",\n \"cv30BoundaryValue\": 10\n },\n {\n \"key\": \"AEO_LEVEL_CV30\",\n \"cv30BoundaryValue\": 23\n },\n {\n \"key\": \"AEO_CONT_CV30\",\n \"cv30BoundaryValue\": 1\n },\n {\n \"key\": \"AEO_INADS_CV30\",\n \"cv30BoundaryValue\": 4\n },\n {\n \"key\": \"AEO_RVADS_CV30\",\n \"cv30BoundaryValue\": 1\n },\n {\n \"key\": \"AEO_PURCHASE_CV30\",\n \"cv30BoundaryValue\": 1\n },\n {\n \"key\": \"AEO_GETC_CV30\",\n \"cv30BoundaryValue\": 135\n },\n {\n \"key\": \"AEO_USEC_CV30\",\n \"cv30BoundaryValue\": 82\n }\n]",
"churn": "",
"cp_count": "8",
"cp_order": "wordtiles->lollipoplinkmatch->blocktrianglepuzzletangram -> blockpuzzlestarfinder -> bubblepop -> bunnypopbubble -> rolltheballunrollme -> linepuzzlepipeart ",
"give_welcome_back_present": "false",
"store_popup_display_descending": "false",
"version_suggestions": "[ { \"semanticVersion\": \"22.0316.00\", \"versionCode\": 481, \"updatePriority\": 5, \"message\": \"A new version of the game\\nis available in the <color=#529C2C>Store</color>!\\n\\nPlease update to the <color=#529C2C>Latest Version </color> for the best experience.\" } ]"
},
"state": "UPDATE",
"templateVersion": "33"
}
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "io.fabric.ApiKey" : "de1753aa2790022b9280f90fc63bdcbb1236ccd6" 凭证信息=> "com.google.android.gms.games.APP_ID" : "\ 694427261032" "google_api_key" : "AIzaSyBhYemRq-WIkKxtBRPbtfF08qn7m7AVFLs" "google_app_id" : "1:694427261032:android:1f5f1fbde14e50d1" "google_crash_reporting_api_key" : "AIzaSyBhYemRq-WIkKxtBRPbtfF08qn7m7AVFLs" "firebase_database_url" : "https://word-cookies-54791714.firebaseio.com" 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 026ae9c9824b3e483fa6c71fa88f57ae27816141 3i2ndDfv2rTHiSisAbouNdArYfORhtTPEefj3q2f 470fa2b4ae81cd56ecbcda9735803434cec591fa 7bf3a1e7bbd31e612eda3310c2cdb8075c43c6b5
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/adcolony/sdk/aa.java, line(s) 181 com/adcolony/sdk/ag.java, line(s) 51,63 com/adcolony/sdk/ai.java, line(s) 296,285,303,313,454 com/adcolony/sdk/ak.java, line(s) 44 com/adcolony/sdk/aq.java, line(s) 28,31,32,33,44 com/adcolony/sdk/ar.java, line(s) 22,23,24,29,30,31,32 com/adcolony/sdk/p.java, line(s) 33 com/adcolony/sdk/w.java, line(s) 36,42,38,76,40 com/adcolony/unityplugin/UnityADCAdColonyCustomMessageListener.java, line(s) 12 com/adcolony/unityplugin/UnityADCAdContainer.java, line(s) 34 com/adcolony/unityplugin/UnityADCAds.java, line(s) 181,213,224,239,249,259 com/adcolony/unityplugin/UnityADCUtils.java, line(s) 25,33 com/applovin/adview/AppLovinAdView.java, line(s) 38,90 com/applovin/adview/AppLovinIncentivizedInterstitial.java, line(s) 50 com/applovin/adview/AppLovinInterstitialActivity.java, line(s) 621,624 com/applovin/impl/adview/AdViewControllerImpl.java, line(s) 133,136,139,142,145,266,301,378 com/applovin/impl/adview/q.java, line(s) 15 com/applovin/impl/sdk/AppLovinSdkImpl.java, line(s) 56,233,237,240,258,52 com/applovin/impl/sdk/NativeAdImpl.java, line(s) 189 com/applovin/impl/sdk/dd.java, line(s) 33 com/applovin/impl/sdk/k.java, line(s) 31,46,70,56,84 com/applovin/sdk/AppLovinSdk.java, line(s) 42 com/applovin/sdk/AppLovinSdkUtils.java, line(s) 53 com/applovin/sdk/unity/AppLovinFacade.java, line(s) 146,151,286 com/applovin/sdk/unity/AppLovinUnityActivity.java, line(s) 20 com/bitmango/AlarmReceiver.java, line(s) 37 com/bitmango/LocalNotification.java, line(s) 28,30,32,44 com/bitmango/bitmangoext/NativeInterfaceApplication.java, line(s) 65,20,24 com/bitmango/bitmangoext/NativeProxyActivity.java, line(s) 49,98,132,155,191,196,202,214,257 com/bitmango/bitmangoext/bitmangoext.java, line(s) 77,225,51,66,79,158,161,196,209,130,216,222,241,249,255,258,261,40,68,94,275 com/bitmango/gcm/GCMBind.java, line(s) 17,34,40,57,66,31,45,49 com/bitmango/gcm/GCMBroadcastReceiver.java, line(s) 12 com/bitmango/gcm/GCMIntentService.java, line(s) 25,27,37,67,70 com/bitmango/go/wordcookies/UnityPlayerNativeActivity.java, line(s) 9 com/bitmango/go/wordcookies/UnityPlayerProxyActivity.java, line(s) 11 com/chartboost/sdk/Libraries/CBLogging.java, line(s) 21,27,33,39,69,45,51,57,63 com/chartboost/sdk/impl/bq.java, line(s) 53,72,75,78,81,84,89,92,95,98,101,104,119,133,144,158,164,175,181 com/chartboost/sdk/impl/t.java, line(s) 20,24,28,11,15 com/chartboost/sdk/unity/CBPlugin.java, line(s) 37,43,49,55,61,67,73,79,85,91,97,103,110,116,122,128,134,140,149,155,170,185,195,201,203,212,218,225,231,237,249,261,273,279,285,329,342,355,462,569,582,595,294,295 com/kochava/android/tracker/lite/KochavaSDKLite.java, line(s) 78,94,107,150,191,204,225,235,245,263,276,331,340,359,390,129,231,241,258,290,296,302,308,319,325,378,400,421,434 com/kochava/android/tracker/lite/LocationDirector.java, line(s) 67,70,79,92,98,106,109,110,111,112,114,119,123,128,136,142,149,156,164,165,166,167,206,223,234 com/kochava/android/tracker/lite/ReferralCapture.java, line(s) 22,25,35,43,51,65,71,75 com/prime31/GoogleIABPlugin.java, line(s) 175,54,80,95,104,126,130,148,156,171,186,221,99,108,152 com/prime31/GoogleIABPluginBase.java, line(s) 48,96,35,37,39,53,68,71,74,79,107,123 com/prime31/GoogleIABProxyActivity.java, line(s) 53,34,46,18,26,31,32 com/prime31/IABConstants.java, line(s) 11,17,23,36 com/prime31/util/IabHelper.java, line(s) 693,179,561,634,697 com/prime31/util/Inventory.java, line(s) 30,44,56 com/prime31/util/Security.java, line(s) 23,27,37,42,54,59,62,65,68 com/vungle/VunglePlugin.java, line(s) 58,35,47,86 com/vungle/log/Logger.java, line(s) 90,109 com/vungle/publisher/aka.java, line(s) 25 com/vungle/publisher/alp.java, line(s) 131 io/fabric/unity/android/BundleKitDataProvider.java, line(s) 32 io/fabric/unity/android/FabricInitializer.java, line(s) 50,36 org/fmod/FMODAudioDevice.java, line(s) 71 org/fmod/a.java, line(s) 82
信息 应用与Firebase数据库通信
该应用与位于 https://word-cookies-54791714.firebaseio.com 的 Firebase 数据库进行通信
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/chartboost/sdk/Libraries/CBUtility.java, line(s) 183,191,187,191,191,191,191