移动应用安全检测报告: 小丑牌 v1.0.0

安全基线评分


安全基线评分 53/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 2
中危安全漏洞 9
安全提示信息 3
已通过安全项 2
重点安全关注 2

高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com_milu_ooO00oOO0oooOoOOOOOOOoO0ooOOo0/oOoO0Ooo0ooOO000OOoo0OOOoOO0OO.java, line(s) 23

中危安全漏洞 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Activity (org.love2d.android.GameActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危安全漏洞 Content Provider (androidx.startup.InitializationProvider) 如果应用程序在API级别低于17的设备上运行,则不会受到保护。 

[Content Provider, targetSdkVersion >= 17]
如果应用程序运行在一个API级别低于17的设备上,内容提供者( Content Provider)就会被导出。在这种情况下,它会被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。

中危安全漏洞 Content Provider (com.mod.plugin.shell.provider.FakeProvider) 如果应用程序在API级别低于17的设备上运行,则不会受到保护。 

[Content Provider, targetSdkVersion >= 17]
如果应用程序运行在一个API级别低于17的设备上,内容提供者( Content Provider)就会被导出。在这种情况下,它会被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com_milu_ooO00oOO0oooOoOOOOOOOoO0ooOOo0/o0o0OoOo00O00oOo00O000O0Ooo0oo.java, line(s) 74,129

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/mod/plugin/iiii/a.java, line(s) 215
org/love2d/android/GameActivity.java, line(s) 177

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
WXW/Hook/proguard/C0070.java, line(s) 27
f0/a.java, line(s) 3
f0/b.java, line(s) 4
g0/b.java, line(s) 4

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/one/oaid/imp/OppoDeviceIDHelper.java, line(s) 105

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
100F6C34-1735-4313-B402-38567131E5F3
amF2YS5uZXQuSHR0cFVSTENvbm5lY3Rpb24=
3082035f30820247a0030201020204021de551300d06092a864886f70d01010b05003060310b300906035504061302636e310f300d0603550408130666756a69616e310d300b06035504071304616d6f793110300e060355040a13077a68756f796f753110300e060355040b13077a68756f796f75310d300b060355040313047469616e301e170d3134303832303134323334355a170d3339303831343134323334355a3060310b300906035504061302636e310f300d0603550408130666756a69616e310d300b06035504071304616d6f793110300e060355040a13077a68756f796f753110300e060355040b13077a68756f796f75310d300b060355040313047469616e30820122300d06092a864886f70d01010105000382010f003082010a028201010097e44b5d30ecdba3c75e8f30a5519e461c7465d30f9eace4ac90f7a692c94352f61feffef1dff77628553162df14d8ba1d42302a70d6a019025879763331df86e0718901edc72fbb43f1030e49103d19647e42c3446493de64088341410ce0a105014373f535a9e11628e4c35c63f74057e1bbf5caebc4c33f1b5eb127f813e56dce3d21ba07893262dce3f02b377183d31bf584ecc6ba26e015690c913efa2e27bc67011a6f002069c5942d711f168a37eaa95ebf037b6275f956cae708d8cf109d868064ad9dc341e8b846fd1120d38623c6bd6d56f3a906dc627e4743cac5c0571a39cffda856f32817eb48e232347a5e857d5c8e493ee2437b0a0457f4f50203010001a321301f301d0603551d0e04160414ace5e93fbc3a5ac74dae8471ff10ff9adba98c35300d06092a864886f70d01010b050003820101008fb9ca1ceca7983a7c8ce9fe6952ccf2f13189812f20a2a5dc597e1bcee5b7424387c2e89ce6b1ee636e2fc4baaddbc523994f78d4f7d74b8471850c92f606dbf21ef9e63e659d9f71e0f0a6189ee27ba8386a7c3b784d5986781829fd9913d50908a1a9e038d7dd4703cdce3105a580e7749ec044299643623800deb8aa7286fb3521ed280737b41198c25d3e5e0047a49ffb66f60b314ea01c79784a08cd35d743319e43b758490bcf79dc4efb59dc88627100828d3e51d6d2b6de04e55b07f330aa4b598024cefb5dc77de16aa7be2c6b7dbd670ce488799afef3f0896655c8da5e97ca70aa0a0187011e07e1ff2e647e92a48120e28af0af00692bdda6b6
100F6C32-1735-4313-B402-38567131E5F3
100F6C33-1735-4313-B402-38567131E5F3
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

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/milu/utils/SLog.java, line(s) 7
com/one/oaid/MyOAID.java, line(s) 28,36,77,30
com/one/oaid/OneOAIDHelper.java, line(s) 25
com/one/oaid/imp/CooseaHelper.java, line(s) 53
com/one/oaid/imp/HWDeviceIDHelper.java, line(s) 26,90,120
com/one/oaid/imp/MSAOAIDHelper.java, line(s) 55
com/one/oaid/imp/MeizuDeviceIDHelper.java, line(s) 82
com/one/oaid/imp/XiaomiDeviceIDHelper.java, line(s) 37
com_milu_o0OOOOo00OoooOOO000O0oooo0Oo0o/oo00oOoo0oOo0oOOO0OOoOOoOo00O0.java, line(s) 22,10,16
com_milu_ooO00oOO0oooOoOOOOOOOoO0ooOOo0/ooo000OO000ooOOoOooo0OoO0O00Oo.java, line(s) 229
f/c.java, line(s) 154,183,254
org/libsdl/app/HIDDeviceBLESteamController.java, line(s) 131,146,160,171,220,296,390,577,591,265,276,283,322,325,330,335,338,351,474,518,547
org/libsdl/app/HIDDeviceManager.java, line(s) 58,65,172,184,202,334,395,437,460,474,133,134,326,339,348,405,426,445
org/libsdl/app/HIDDeviceUSB.java, line(s) 48,109,179,184,206,229,237
org/libsdl/app/SDLActivity.java, line(s) 118,139,180,756,239,346,952,967,968,969,974,1013,1030,1040,1063,1077,1086,1111,1153,1221,1258,981
org/libsdl/app/SDLAudioManager.java, line(s) 111,135,139,162,452,470,105,361,382,413,426,437,497,526,121,149,172
org/libsdl/app/SDLHapticHandler_API26.java, line(s) 14
org/libsdl/app/SDLMain.java, line(s) 16,18,20
org/libsdl/app/SDLSurface.java, line(s) 199,216,217,228,235,240,259,265
org/love2d/android/GameActivity.java, line(s) 129,135,140,156,172,183,186,191,201,215,219,232,234,304,312,321,333,344,350,393,397,421,429,441,452,455,457,462,481,482,500,506,524,530,90,113,324
u/b.java, line(s) 35

安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 

此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/libsdl/app/SDLClipboardHandler.java, line(s) 6,4

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/libsdl/app/SDLClipboardHandler.java, line(s) 4,31

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com_milu_oOoo00OooOoo000OOo0O00oOoOOoOo/ooo0oO0o0OooOoOO0OOOOoo000ooO0.java, line(s) 205,204,203,203

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dev-pkg-upg-api.shanzhildq.com) 通信。 

{'ip': '39.108.74.120', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (game.shanzhildq.com) 通信。 

{'ip': '39.108.74.120', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

综合安全基线评分: ( 小丑牌 1.0.0)