安全分析报告:
安全分数
安全分数 52/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
2
中危
15
信息
1
安全
2
关注
0
高危 App 链接 assetlinks.json 文件未找到
[android:name=com.app.subway.freegame.MainActivity][android:host=https://www.gamerplay26.bio] App Link 资产验证 URL (https://www.gamerplay26.bio/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:403)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/app/subway/freegame/MainActivity.java, line(s) 1059,1054,1255
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/transsion/athena/data/a.java, line(s) 6,7,8,9,180 io/appmetrica/analytics/coreutils/internal/db/DBUtils.java, line(s) 5,40 io/appmetrica/analytics/impl/C0083bh.java, line(s) 6,119 io/appmetrica/analytics/impl/C0096c5.java, line(s) 4,50 io/appmetrica/analytics/impl/C0121d5.java, line(s) 5,68 io/appmetrica/analytics/impl/Fj.java, line(s) 3,9 io/appmetrica/analytics/impl/L6.java, line(s) 6,38 io/appmetrica/analytics/impl/O6.java, line(s) 7,100 io/appmetrica/analytics/impl/R6.java, line(s) 3,10 io/appmetrica/analytics/impl/S6.java, line(s) 3,10 io/appmetrica/analytics/impl/T6.java, line(s) 3,10 io/appmetrica/analytics/impl/U6.java, line(s) 3,10 io/appmetrica/analytics/impl/V6.java, line(s) 3,10 io/appmetrica/analytics/impl/W6.java, line(s) 3,10 io/appmetrica/analytics/impl/X6.java, line(s) 3,13 io/appmetrica/analytics/impl/Y6.java, line(s) 3,13
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/app/subway/freegame/Logger.java, line(s) 12 com/app/subway/freegame/MainActivity.java, line(s) 814,855 com/jaiselrahman/filepicker/adapter/FileGalleryAdapter.java, line(s) 175,179 com/transsion/core/log/ObjectLogUtils.java, line(s) 460 com/transsion/infra/gateway/core/utils/ObjectLogUtils.java, line(s) 460 com/transsion/sdk/oneid/a.java, line(s) 7 com/transsion/sdk/oneid/d.java, line(s) 358
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: athena/b0.java, line(s) 518 athena/k0.java, line(s) 56 com/app/subway/freegame/Utils.java, line(s) 359 com/transsion/infra/gateway/core/utils/EncoderUtil.java, line(s) 42 com/transsion/sdk/oneid/crypto/crypter/RsaEcsPKCS1Encrypter.java, line(s) 32 io/appmetrica/analytics/impl/Li.java, line(s) 8 io/appmetrica/analytics/impl/N7.java, line(s) 36
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: io/appmetrica/analytics/impl/N3.java, line(s) 50
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/transsion/infra/gateway/core/bean/RequestBean.java, line(s) 92 io/appmetrica/analytics/impl/C0041a0.java, line(s) 16 io/appmetrica/analytics/impl/C0394o4.java, line(s) 59 io/appmetrica/analytics/impl/C0589w0.java, line(s) 41 io/appmetrica/analytics/impl/Rg.java, line(s) 117
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/app/subway/freegame/MainActivity.java, line(s) 736,746
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/app/subway/freegame/MainActivity.java, line(s) 412,395,1894
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/app/subway/freegame/MainActivity.java, line(s) 1906,395,1894
中危 IP地址泄露
IP地址泄露 Files: athena/b0.java, line(s) 576,720 athena/h0.java, line(s) 357 athena/k.java, line(s) 87 athena/k0.java, line(s) 80 com/transsion/athena/data/AppIdData.java, line(s) 48 com/transsion/core/BuildConfig.java, line(s) 9 com/transsion/sdk/oneid/d.java, line(s) 147 com/transsion/sdk/oneid/data/PackageInfo.java, line(s) 20 com/transsion/sdk/oneid/e.java, line(s) 392 gs1/gs1/gs1/gs6.java, line(s) 151
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: athena/l.java, line(s) 51 com/transsion/athena/config/data/model/d.java, line(s) 13
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "@string/admob_app_id" 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 nzFx18H12iZ9gG1VztMbHetvImBoXeCOwjTc5RnGIz+Hya96pxJLK2DcSlAaHEs1H nGCerxYdLtDbJ69Rux4lgE5C9a6qLfV6BzjJYONk/vQhGQYT6qes+TFtXV0hvF8UM Xqn2nnO41/L92o1iuXhSLHTbXvY4Z5ZZ62m8mSLA 20799a27-fa80-4b36-b2db-0f8141f24180 76iRl07s0xSN9jqmEWAt79EBJZulIQIsV64FZr2O MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArNrm4jErOdstd1P5L1X/ nCGSS6NKf4glPrFbTM97aE9ZKGUiMALIV8W7FClAgLZdtTZkL5XEQdbX4RB/C6edc nnN2ifla6sVu23y78FMiL6smp9ayE7Y3gSEfB3md4nvEUpyRUu4wYLIf9nVR36okK 95e1a9d6-ad13-4235-bdd7-999e69ffa7b0 0e5e9c33-f8c3-4568-86c5-2e4f57523f72
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: athena/b0.java, line(s) 93 athena/n0.java, line(s) 361,362,363,364,365 com/app/subway/freegame/AnalyticsWebInterface.java, line(s) 53,57 com/app/subway/freegame/Logger.java, line(s) 49,32 com/app/subway/freegame/SplashScreen.java, line(s) 51 com/app/subway/freegame/Utils.java, line(s) 65 com/github/ybq/android/spinkit/animation/SpriteAnimatorBuilder.java, line(s) 146 com/jaiselrahman/filepicker/adapter/FileGalleryAdapter.java, line(s) 187 com/jaiselrahman/filepicker/loader/FileLoader.java, line(s) 143 com/transsion/athena/data/a.java, line(s) 65,75,88,100,114,165,595,677,1033,1195,1213 com/transsion/athena/jsbridge/AthenaJsInterface.java, line(s) 73 com/transsion/core/log/LogUtils.java, line(s) 459,440,464,267 com/transsion/core/log/ObjectLogUtils.java, line(s) 505,486,510,296 com/transsion/core/pool/TranssionPoolExecutor.java, line(s) 83 com/transsion/ga/AthenaAnalytics.java, line(s) 757,362,819 com/transsion/gslb/GslbSdk.java, line(s) 82,126 com/transsion/infra/gateway/core/utils/ObjectLogUtils.java, line(s) 505,486,510,296 io/appmetrica/analytics/gpllibrary/internal/GplLibraryWrapper.java, line(s) 70,79,85 io/appmetrica/analytics/impl/C0265j0.java, line(s) 40 io/appmetrica/analytics/impl/C0341m1.java, line(s) 161 io/appmetrica/analytics/impl/C0379ne.java, line(s) 27 io/appmetrica/analytics/impl/C0489s0.java, line(s) 58 io/appmetrica/analytics/impl/C0607wi.java, line(s) 42,32,63,69,73 io/appmetrica/analytics/impl/C0639y0.java, line(s) 24 io/appmetrica/analytics/impl/He.java, line(s) 42,38,16,21,28,34 io/appmetrica/analytics/impl/Ke.java, line(s) 35,57,70,76,79,54,67 io/appmetrica/analytics/impl/Ki.java, line(s) 27 io/appmetrica/analytics/impl/Oh.java, line(s) 76 io/appmetrica/analytics/impl/P7.java, line(s) 64 io/appmetrica/analytics/impl/Q3.java, line(s) 18 io/appmetrica/analytics/internal/PreloadInfoContentProvider.java, line(s) 44,36,39,52,77,105,112
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: io/appmetrica/analytics/coreutils/internal/system/RootChecker.java, line(s) 25
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: athena/b0.java, line(s) 351,378,479,555,699