安全分析报告: 蚂蚁答题 v1.7.0

安全分数


安全分数 50/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

4

用户/设备跟踪器


调研结果

高危 1
中危 19
信息 1
安全 1
关注 9

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

中危 基本配置配置为信任系统证书。 

Scope:
*

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Activity (com.zmx.rollapplication.activity.LoginActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.zmx.rollapplication.activity.HomeActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.zmx.rollapplication.wxapi.WXEntryActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.zmx.rollapplication.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.zmx.rollapplication.MainActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.kwad.sdk.api.proxy.VideoWallpaperService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_WALLPAPER [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 高优先级的Intent (1000) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
aegon/chrome/base/PathUtils.java, line(s) 145,174,191
com/github/gzuliyujiang/oaid/DeviceID.java, line(s) 247,248
com/kwai/video/hodor/util/FileUtils.java, line(s) 43,51
com/ss/android/downloadlib/addownload/c.java, line(s) 250,252
com/ss/android/downloadlib/addownload/e.java, line(s) 396
com/ss/android/downloadlib/hc/ve.java, line(s) 365,345,439
com/zmx/rollapplication/activity/HomeActivity.java, line(s) 227,476
com/zmx/rollapplication/activity/PhotoInvitationActivity.java, line(s) 103
com/zmx/rollapplication/adapter/CustomerImageAdapter.java, line(s) 187
com/zmx/rollapplication/fragment/OneFragment.java, line(s) 241,251,579
com/zmx/rollapplication/utils/SavePhoto.java, line(s) 44,46

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
aegon/chrome/base/EarlyTraceEvent.java, line(s) 14
com/zmx/rollapplication/wxapi/WxShareAndLoginUtils.java, line(s) 98

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/kwai/video/ksvodplayerkit/Utils/VodPlayerUtils.java, line(s) 97

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/github/gzuliyujiang/oaid/impl/OppoImpl.java, line(s) 73
com/jg/ids/i/i.java, line(s) 145
org/repackage/a/a/a/a/c.java, line(s) 59

中危 IP地址泄露 

IP地址泄露


Files:
aegon/chrome/base/PiiElider.java, line(s) 20
aegon/chrome/net/AndroidNetworkLibrary.java, line(s) 70,69,74,66,65,73
aegon/chrome/net/X509Util.java, line(s) 43,42,45
com/kwai/video/hodor/BuildConfig.java, line(s) 16
com/kwai/video/player/BuildConfig.java, line(s) 13
com/ss/android/download/api/constant/BaseConstants.java, line(s) 33

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/ss/android/downloadlib/l/dk.java, line(s) 4,5,16

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/badlogic/gdx/math/a.java, line(s) 3

中危 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
bGPRTBjwdS9CphsapFBqmgvAepFWmw2z
50e2326ac25aa75936f45493dea50631eb8bd911
0cdcc6158160790658d1f033d3db873603250124-
65ae604595b14f599d1b4048
6214227cd0a1f50c2d7cde0837359bf496afaf3a

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
aegon/chrome/base/AnimationFrameTimeHistogram.java, line(s) 102
aegon/chrome/base/ApkAssets.java, line(s) 21,30,37,44
aegon/chrome/base/CommandLine.java, line(s) 103
aegon/chrome/base/ContentUriUtils.java, line(s) 104,106,108,173
aegon/chrome/base/EventLog.java, line(s) 8
aegon/chrome/base/FileUtils.java, line(s) 34,118,97,134,142,155,163
aegon/chrome/base/Log.java, line(s) 83,85,145,147,34,125,127,41,43,135,137,155,157
aegon/chrome/base/PathUtils.java, line(s) 83
aegon/chrome/base/TraceEvent.java, line(s) 119,127
aegon/chrome/base/task/AsyncTask.java, line(s) 234
aegon/chrome/net/AndroidKeyStore.java, line(s) 27,39,52,56,68,72
aegon/chrome/net/AndroidNetworkLibrary.java, line(s) 107
aegon/chrome/net/CronetEngine.java, line(s) 122,121
aegon/chrome/net/CronetProvider.java, line(s) 82,77,96,81
aegon/chrome/net/ProxyChangeListener.java, line(s) 145
aegon/chrome/net/X509Util.java, line(s) 84,86,88,186,190,263,327,307
aegon/chrome/net/impl/CronetBidirectionalStream.java, line(s) 361,502,571,611,618,585
aegon/chrome/net/impl/CronetLibraryLoader.java, line(s) 108
aegon/chrome/net/impl/CronetUploadDataStream.java, line(s) 144,239
aegon/chrome/net/impl/CronetUrlRequest.java, line(s) 372,405,411,561,586,617,635,704,709,726,762,788
aegon/chrome/net/impl/CronetUrlRequestContext.java, line(s) 668,482,485
aegon/chrome/net/impl/JavaUrlRequest.java, line(s) 557,694,820,833,847
aegon/chrome/net/impl/UrlRequestBuilderImpl.java, line(s) 61
aegon/chrome/net/urlconnection/CronetHttpURLConnection.java, line(s) 157,288
com/github/gzuliyujiang/oaid/OAIDLog.java, line(s) 21
com/kuaishou/aegon/AegonLoggingDispatcher.java, line(s) 22,33,26,28
com/kwad/lottie/LottieAnimationView.java, line(s) 269
com/kwad/lottie/b/a.java, line(s) 23
com/kwad/lottie/b/b.java, line(s) 32,72,82
com/kwad/lottie/c.java, line(s) 19,28
com/kwad/lottie/d.java, line(s) 41
com/kwad/lottie/e.java, line(s) 168
com/kwad/lottie/f.java, line(s) 78,175,449
com/kwad/lottie/k.java, line(s) 105
com/kwai/player/vr/EglUtil.java, line(s) 29
com/kwai/player/vr/KwaiOrientationHelper.java, line(s) 110,115
com/kwai/player/vr/KwaiSensorHelper.java, line(s) 102,105,121,161,99,179
com/kwai/player/vr/KwaiVR.java, line(s) 95,102,108,115,179,223
com/kwai/player/vr/SurfaceTextureRenderer.java, line(s) 217,315,318,341,360,378,403,494,572,604,158,162,171,210,213,450,479,498,511,520,555,152,174,181,224,231,236,252,255,257,265,268,271,274,349,351,441,452
com/kwai/player/vr/SurfaceUtil.java, line(s) 13,25
com/kwai/video/hodor/util/Timber.java, line(s) 517,535
com/kwai/video/ksvodplayerkit/KSVodPlayer.java, line(s) 154
com/kwai/video/ksvodplayerkit/Logger/KSVodLogger.java, line(s) 71,94,117,140,163
com/kwai/video/player/AbstractNativeMediaPlayer.java, line(s) 231,235,226,238,260,94,257
com/kwai/video/player/KsDrm.java, line(s) 18
com/kwai/video/player/KsMediaCodecInfo.java, line(s) 197,199
com/kwai/video/player/KsMediaPlayer.java, line(s) 1646,1661,600,952,1331,1339,1440,1448
com/kwai/video/player/kwai_player/KwaiMediaPlayer.java, line(s) 591,882,1518,893,371,394,1459
com/kwai/video/player/pragma/DebugLog.java, line(s) 50,54,58,14,18,22,26,30,34,62,66,70,38,42,46
com/kwai/video/player/surface/DummySurface.java, line(s) 136,142,55
com/zmx/rollapplication/BaseActivity.java, line(s) 176,178,142,147,153,158
com/zmx/rollapplication/MyApplication.java, line(s) 84,88,74,76
com/zmx/rollapplication/activity/CashWithdrawalActivity.java, line(s) 196,363,373,377,383,387,393,397,401,405,409
com/zmx/rollapplication/activity/HomeActivity.java, line(s) 216,233,239,257,364,466,514,736,771,794,803,808,812,819,823,828,832,836,840,841,845,849,851,865,871,878,929,930,936,978,984,989,994,999,1003,1007,1011,1022
com/zmx/rollapplication/activity/LoginActivity.java, line(s) 114,129,142,185,221
com/zmx/rollapplication/activity/PersonalCenterActivity.java, line(s) 183,205,210,215,220,224,228,232,243,247,251
com/zmx/rollapplication/activity/WelcomeActivity.java, line(s) 45,55,59,63,67,75,79,83,87
com/zmx/rollapplication/adapter/CustomerImageAdapter.java, line(s) 170
com/zmx/rollapplication/adapter/gdt/GdtCustomInit.java, line(s) 15,19
com/zmx/rollapplication/adapter/gdt/GdtCustomRewardLoader.java, line(s) 67,77,83,88,93,122,128,134,139,61
com/zmx/rollapplication/fragment/OneFragment.java, line(s) 214,229,232,258,265,271,316,415,552,617,759,892,945,954,959,963,970,974,989,994,998,999,1007,1013,1020,1077,1078,1084,1126,1132,1137,1142,1147,1151,1155,1159,1164,1168,1172,1236
com/zmx/rollapplication/fragment/ks/KSTubeFragment.java, line(s) 67,76,96,101,113,125,129,133,137,145,149,153,157,161
com/zmx/rollapplication/utils/KLog.java, line(s) 133,149,172,187,189,142,136,130,139,145
com/zmx/rollapplication/utils/SoundPlayerUtils.java, line(s) 59,116
com/zmx/rollapplication/utils/http/OkHttp3ClientManager.java, line(s) 87,105,116,121,139,61,149,164,187,197,212,235,246,270,292,301
com/zmx/rollapplication/wxapi/WXEntryActivity.java, line(s) 59,66,70,71,82
pub/devrel/easypermissions/AppSettingsDialog.java, line(s) 69
pub/devrel/easypermissions/EasyPermissions.java, line(s) 138,140,34
pub/devrel/easypermissions/helper/ActivityPermissionHelper.java, line(s) 36
pub/devrel/easypermissions/helper/BaseSupportPermissionsHelper.java, line(s) 20

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
aegon/chrome/net/X509Util.java, line(s) 178,177,176,176

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (game.zziw.cn) 通信。 

{'ip': '120.78.184.120', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield-b.com) 通信。 

{'ip': '61.170.81.238', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (itnmg.top) 通信。 

{'ip': '112.74.185.70', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。 

{'ip': '61.170.81.235', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

安全评分: ( 蚂蚁答题 1.7.0)