安全分析报告: 滴滴 v2.2.0

安全分数


安全分数 47/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 2
中危 9
信息 2
安全 1
关注 0

高危 应用程序使用了调试证书进行签名 

应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
f/c/a/a.java, line(s) 39
f/d/b/n0.java, line(s) 967
io/flutter/plugins/c/h.java, line(s) 107,129
io/flutter/plugins/c/i.java, line(s) 103,112

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/d/b/d1.java, line(s) 105
h/a/a/c/a.java, line(s) 87

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
e/d/a/a.java, line(s) 3071
e/e/b.java, line(s) 109
io/flutter/plugins/a/y.java, line(s) 349,984
io/flutter/plugins/imagepicker/g.java, line(s) 269

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
f/e/a/a/g4/q1.java, line(s) 10
f/e/a/a/o4/t0.java, line(s) 4
j/w/a.java, line(s) 3
j/w/b.java, line(s) 4
j/w/d/a.java, line(s) 4

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
e/c/e/f.java, line(s) 478
e/d/a/a.java, line(s) 308,1133,1155,1280,1283,1292,1297,1332,1353,1360,1376,1388,1421,1436,1444,1450,1503,1513,1529,1558,1596,1678,1724,1906,1938,2014,2100,2234,2316,2332,2351,2358,2539,2590,2610,2623,2655,2681,2800,2840,2845,2851,2916,3269,3324,3381,3494,3504,3530,3571,711,719,753,765,777,789,801,813,825,837,849,856,867,879,87,862,1213,1980,1994,2502,2813,2815,2817,3261,3283,3453
e/d/a/b.java, line(s) 55
e/e/a.java, line(s) 308,349,407,191,198,200,206,331,342,353,391,104,135,194,202,209,222,238,293,311
e/e/b.java, line(s) 50,61,63,90,92,110,129,165,207,229,284,292,295,299,86,94,103,217,233,248,255,290
e/f/a.java, line(s) 33
f/a/a/j.java, line(s) 16
f/a/a/n.java, line(s) 49,83,86,152,155,391,404,410,415,185
f/a/a/o.java, line(s) 320,324,329
f/a/a/p.java, line(s) 67
f/c/a/a.java, line(s) 134,151
f/e/a/a/s4/t.java, line(s) 37,32,27,22
i/a/b.java, line(s) 9,13,23,27,31
io/flutter/plugins/a/m0.java, line(s) 89,102,125,57,235
io/flutter/plugins/a/y.java, line(s) 81,90,97,134,140,146,153,318,320,332,373,379,491,515,532,589,592,707,747,781,856,898,911,999,1001,558
io/flutter/plugins/a/z.java, line(s) 72,83,94,102
io/flutter/plugins/c/i.java, line(s) 156
io/flutter/plugins/d/l.java, line(s) 76
io/flutter/plugins/f/a.java, line(s) 74
io/flutter/plugins/f/d.java, line(s) 247
io/flutter/plugins/f/e.java, line(s) 51,59,79,99
io/flutter/plugins/imagepicker/d.java, line(s) 21
io/flutter/plugins/imagepicker/i.java, line(s) 35
io/flutter/plugins/urllauncher/a.java, line(s) 100,89
io/flutter/plugins/urllauncher/b.java, line(s) 31,34
io/flutter/plugins/urllauncher/c.java, line(s) 12,30,45

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
i/a/c/d/e.java, line(s) 7,235
io/flutter/plugin/editing/b.java, line(s) 4,71,80

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( 滴滴 2.2.0)