移动应用安全检测报告:
安全基线评分
安全基线评分 47/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
2
中危安全漏洞
11
安全提示信息
1
已通过安全项
1
重点安全关注
0
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 基本配置配置为信任用户安装的证书。
Scope: *
中危安全漏洞 基本配置配置为信任系统证书。
Scope: *
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Service (com.reqable.android.NetbareVpnService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_VPN_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c3/c.java, line(s) 84 w2/a.java, line(s) 84
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: bin/mt/signature/KillerApplication.java, line(s) 77 r/g.java, line(s) 218 x3/i.java, line(s) 129,151 x3/j.java, line(s) 143
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: t4/a.java, line(s) 3 t4/b.java, line(s) 3 u4/a.java, line(s) 3
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: j1/m0.java, line(s) 5,6,107,141,160,169,219,326,343,703 j1/t0.java, line(s) 4,5,118
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/b.java, line(s) 260
中危安全漏洞 IP地址泄露
IP地址泄露 Files: v0/b.java, line(s) 96,96
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "library_zxingandroidembedded_author" : "JourneyApps" VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: J/d2.java, line(s) 108,141,367,123,156,239,253,305,371,374,427 J/e1.java, line(s) 94,148,157,392 J/e2.java, line(s) 38 J/q0.java, line(s) 47 J/q1.java, line(s) 418,228,233,240,333,531 J/q2.java, line(s) 106 J/r2.java, line(s) 86 J/t0.java, line(s) 172,177,182,187 J/t2.java, line(s) 26,36,54,56,59 J/x1.java, line(s) 172,206 J/z1.java, line(s) 184,49,61,95,124,391 a3/c.java, line(s) 266 b0/b.java, line(s) 64 b0/i0.java, line(s) 969,946,968 b0/i1.java, line(s) 33 b0/k1.java, line(s) 43,52,66,86,100,115,129 b0/q1.java, line(s) 380,397,134,146,153,162,49,68,371 b0/w.java, line(s) 95 bin/mt/signature/KillerApplication.java, line(s) 116,126,161 c0/f.java, line(s) 179 c1/k.java, line(s) 37,44,47,55,85,90,95,100,105 com/journeyapps/barcodescanner/a.java, line(s) 612,662,123,308,411,473 com/journeyapps/barcodescanner/b.java, line(s) 112,183,266 d/e.java, line(s) 165 d/f.java, line(s) 2232,1455,1461,1904,2322,1175 d/l.java, line(s) 98 d/o.java, line(s) 91,105,115 d/r.java, line(s) 55,65,80,90,107,119,131,140,153,167,179 d/t.java, line(s) 54,69 d0/d.java, line(s) 139 e0/a0.java, line(s) 41,40 e0/c.java, line(s) 53,62 e0/k.java, line(s) 59,68 e3/b.java, line(s) 10,14,28,32 e4/a.java, line(s) 45 f1/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 h/g.java, line(s) 168,211,270 i/c.java, line(s) 276 i5/b.java, line(s) 110 io/objectbox/BoxStore.java, line(s) 86,90 io/objectbox/Cursor.java, line(s) 74,76 io/objectbox/Transaction.java, line(s) 34,40,36 m0/b.java, line(s) 35,43,61 n/b.java, line(s) 42 n1/b0.java, line(s) 111,127,133,113,119,128,134 org/lsposed/hiddenapibypass/HiddenApiBypass.java, line(s) 90,329 q/f.java, line(s) 91,247 q/o.java, line(s) 42 q/v0.java, line(s) 66 q0/b.java, line(s) 81 r0/g.java, line(s) 1018 r2/l.java, line(s) 98 s/c.java, line(s) 56 s/d.java, line(s) 66 s/h.java, line(s) 142,151,249 s2/a.java, line(s) 83,106,124 s2/c.java, line(s) 26,27,31,36,42,63,65,71,81,105,111,125,132,135,137,143,155,158,160,169,172,184,190 s2/g.java, line(s) 46,62,81,98,132,50,69,86,102 s2/h.java, line(s) 65,84,310,128,222,252,218,224,266,274 s2/l.java, line(s) 28 s2/n.java, line(s) 28 s2/q.java, line(s) 39,40 t/e.java, line(s) 386,391 t/g.java, line(s) 70 t/h.java, line(s) 41,73 t/i.java, line(s) 57,228 t/m.java, line(s) 104 t0/a.java, line(s) 17 t0/t.java, line(s) 118,150,153,258,271,277,285,303 t0/v.java, line(s) 75,79,84 t0/x.java, line(s) 34 u/a.java, line(s) 126,135,177,187 u/m.java, line(s) 45,68 v0/c.java, line(s) 13,20,31 v3/a.java, line(s) 18,21 w1/e.java, line(s) 35,73 w1/g.java, line(s) 39,32 w3/i.java, line(s) 53 x/k.java, line(s) 42 x1/a.java, line(s) 13 x3/j.java, line(s) 187 y2/f.java, line(s) 127,145,159,203 y3/l.java, line(s) 138 z/a.java, line(s) 51 z2/b.java, line(s) 220 z3/j.java, line(s) 14,28,39
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。