安全分析报告: 闽游麻将 v2.10

安全分数


安全分数 37/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 6
中危 12
信息 2
安全 1
关注 6

高危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 Activity (com.mymj.mn.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (17) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (.apshare.ShareEntryActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (17) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (.wxapi.WXPayEntryActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (17) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (.sgapi.SGEntryActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (17) 更新到 29 或更高版本以在平台级别修复此问题。

高危 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/mymj/mn/BuildConfig.java, line(s) 3,4

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.mymj.mn.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (.apshare.ShareEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (.wxapi.WXPayEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (.sgapi.SGEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/tencent/a/a/a/a/b.java, line(s) 21,23,35,44
org/cocos2dx/cpp/AppActivity.java, line(s) 78
org/cocos2dx/cpp/Native.java, line(s) 101
org/cocos2dx/cpp/QYFun.java, line(s) 71,122
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 150
org/cocos2dx/utils/Utils.java, line(s) 76

中危 IP地址泄露 

IP地址泄露


Files:
org/cocos2dx/enginedata/EngineDataManager.java, line(s) 12

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/tencent/mm/a/a.java, line(s) 9

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/mymj/mn/wxapi/WXEntryActivity.java, line(s) 39,34

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,47

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
高德地图的=> "com.amap.api.v2.apikey" : "b597d1362d6c42cdf8acabe4fd2aed7f"
6X8Y4XdM2Vhvn0KfzcEatGnWaNU=
6097ceda0f7b5480b126498aa12062c8
1101000000140429eb40476f8896f4c9
f3f14003ff69a939053dc90e282393ce

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/mymj/mn/Native.java, line(s) 13
com/mymj/mn/wxapi/WXEntryActivity.java, line(s) 66,108,111,114,119,137,163,209,212,241,247,264,294
com/mymj/mn/wxapi/WXPayEntryActivity.java, line(s) 35
com/tencent/a/a/a/a/b.java, line(s) 20,42,28,56
com/tencent/a/a/a/a/c.java, line(s) 31,45
com/tencent/a/a/a/a/d.java, line(s) 16,32
com/tencent/a/a/a/a/e.java, line(s) 15,29
com/tencent/a/a/a/a/h.java, line(s) 29,20,49,56,23
org/cocos2dx/cpp/AppActivity.java, line(s) 136,147,166,262
org/cocos2dx/cpp/ExtAudioRecorder.java, line(s) 332,52,141,143,159,161,207,215,221,223,237,268,285,300,309,122
org/cocos2dx/cpp/Native.java, line(s) 80,87,89,93
org/cocos2dx/cpp/QYFun.java, line(s) 174,114,123,129,166
org/cocos2dx/cpp/Util.java, line(s) 99,137,140,101,105,109,121,165,181,93,162,168,176
org/cocos2dx/enginedata/magic/a.java, line(s) 117,126,135,144,162,112
org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 101,111,127,210,212,217,203,278,74
org/cocos2dx/lib/Cocos2dxAudioFocusManager.java, line(s) 16,18,29,38,47,68,79,71,81
org/cocos2dx/lib/Cocos2dxBitmap.java, line(s) 142
org/cocos2dx/lib/Cocos2dxEditBoxHelper.java, line(s) 123,140,185,203,367,382
org/cocos2dx/lib/Cocos2dxEngineDataManager.java, line(s) 42,46,151
org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 76,87,392
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 99,114,116,112,268,270,272
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 44,61,93,107,108,126,209,226,236,246,326,80
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 53,95
org/cocos2dx/lib/Cocos2dxMusic.java, line(s) 49,65,85,97,120,160,171,201
org/cocos2dx/lib/Cocos2dxReflectionHelper.java, line(s) 11,14,17,20,30,33,36,39
org/cocos2dx/lib/Cocos2dxSound.java, line(s) 229
org/cocos2dx/lib/Cocos2dxVideoView.java, line(s) 147,211,214,363,368
org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 37,73,81
org/cocos2dx/lib/DataTaskHandler.java, line(s) 13
org/cocos2dx/lib/FileTaskHandler.java, line(s) 16
org/cocos2dx/lib/HeadTaskHandler.java, line(s) 16
org/cocos2dx/utils/Utils.java, line(s) 87,102,104,107,110

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/cocos2dx/cpp/AppActivity.java, line(s) 5,142

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 90,85,86,87

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (restapi.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (abroad.apilocate.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dualstack-restapi.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aps.testing.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dualstack.apilocate.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apilocate.amap.com) 通信。 

{'ip': '59.82.14.113', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( 闽游麻将 2.10)