安全分析报告: Face Mood Scanner v4.2

安全分数


安全分数 38/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 3
中危 10
信息 1
安全 0
关注 0

高危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/airpush/android/Airpush.java, line(s) 475,477,526,527,448,451
com/airpush/android/MessageReceiver.java, line(s) 80,81
com/airpush/android/PushAds.java, line(s) 181,182,208,209,237,238
com/airpush/android/PushService.java, line(s) 132,133,172,173,214,215,256,257,263,264,1023,1024
com/airpush/android/SetPreferences.java, line(s) 146,147,232,235
com/airpush/android/UserDetailsReceiver.java, line(s) 65,66

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/Leadbolt/AdController.java, line(s) 406,588,626,754,814,880,1648
com/airpush/android/Airpush.java, line(s) 489,421,459,466
com/airpush/android/PushService.java, line(s) 837,907,977
com/airpush/android/SetPreferences.java, line(s) 109

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (com.wideapps.android.facemoodscanner.BootReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (com.airpush.android.PushService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/airpush/android/SetPreferences.java, line(s) 59,219
com/airpush/android/UserDetailsReceiver.java, line(s) 24

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/Leadbolt/AdController.java, line(s) 63
com/airpush/android/PushService.java, line(s) 22
com/wideapps/android/facemoodscanner/ResultActivity.java, line(s) 18

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/Leadbolt/AdController.java, line(s) 2293
com/airpush/android/Airpush.java, line(s) 435
com/airpush/android/SetPreferences.java, line(s) 83,96

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/Leadbolt/AdController.java, line(s) 307,305

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/apperhand/device/a/d/b.java, line(s) 19

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"ga_api_key" : "UA-31924598-1"
CRoQAlVGS1keGVoEHgRLEBoOGRdLEUE+agQtJzsiJj8tABJOHhYdGwYHQQU=

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/Leadbolt/AdController.java, line(s) 353,421,423,429,489,491,494,501,503,532,637,649,650,667,668,757,767,918,926,1148,1181,1185,1449,1660,1661,1690,1830,1862,1881,346,447,463,464,469,470,534,574,657,674,701,709,782,793,804,841,868,928,938,951,1084,1216,1331,1376,1508,1579,1597,1622,1708,2021,2064,2107,2150,2176,262,271,295,301,332,336,341,363,450,455,473,478,520,545,548,552,560,595,596,603,607,624,629,643,688,706,714,812,822,836,855,866,873,883,901,904,908,945,1004,1081,1170,1174,1192,1194,1198,1328,1373,1433,1444,1456,1505,1576,1608,1713,1853,1857,1937,1942,2018,2061,2104,2147,2173,2270,2273,2280,2284
com/Leadbolt/AdLog.java, line(s) 42,58,28,15,21,49,35
com/Leadbolt/AdNotification.java, line(s) 29,18
com/Leadbolt/AdWakeLock.java, line(s) 18,30
com/airpush/android/Airpush.java, line(s) 124,125,186,217,232,243,271,274,285,327,336,350,353,357,360,427,542,574
com/airpush/android/Constants.java, line(s) 44,45
com/airpush/android/DeliveryReceiver.java, line(s) 148,38
com/airpush/android/HttpPostData.java, line(s) 95,98,102,107,164,167,171,176,216,218,221,226,110
com/airpush/android/MessageReceiver.java, line(s) 42,75
com/airpush/android/PushAds.java, line(s) 109,128,168,180,207,236,274,281,289,384,410,435,439,487
com/airpush/android/PushService.java, line(s) 498,781,90,154,167,196,209,238,251,272,273,386,392,413,421,422,426,432,450,457,458,464,752,766,807,820,863,876,889,933,946,959,1001,1005,414
com/airpush/android/SetPreferences.java, line(s) 77,101
com/airpush/android/UserDetailsReceiver.java, line(s) 35,56,60
com/apperhand/device/android/AndroidSDKProvider.java, line(s) 48,53,104,175
com/apperhand/device/android/c/b.java, line(s) 16,19,22
com/wideapps/android/facemoodscanner/CameraView.java, line(s) 142,174

安全评分: ( Face Mood Scanner 4.2)