移动应用安全检测报告:
安全基线评分
安全基线评分 60/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
0
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
0
中危安全漏洞
12
安全提示信息
1
已通过安全项
2
重点安全关注
0
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Service (net.fbuahq.ybcvljgvlqm.Service) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (net.fbuahq.ybcvljgvlqm.Receiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Activity-Alias (net.fbuahq.ybcvljgvlqm.CatInWonderland) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 高优先级的Intent (1000) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: w5555w5555ww55w55ww5/a66a6aaa6aaaa66aa.java, line(s) 60
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: ee00e0ee0e0000eee00000e0eeee0e0ee000e0eee0000e0eee0e00e000000e00eee0/oooo44o4o4o44444o44ooo4oooo4o4o44o444444o4oo4oo44ooo4oo.java, line(s) 4,35 xxxxx2xxx2xxx2xx2x2x2xxxxxx222x22xx22xx2x2x2xx22x/i00iiii0ii00ii00i00iiii0iiii0i0i0000ii000i0i00000ii0i0iiiii0iiiii00i0iii0i000.java, line(s) 5,25,41,42,54,55
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: ss88s8ss8s888ss8ss88s8/i5ii5i555iii55ii5.java, line(s) 3 w5wwwww5w5w5w5w55555www5www55ww555ww/i5ii5i555iii55ii5.java, line(s) 3 w5wwwww5w5w5w5w55555www5www55ww555ww/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 3 w5wwwww5w5w5w5w55555www5www55ww555ww/oooo44o4o4o44444o44ooo4oooo4o4o44o444444o4oo4oo44ooo4oo.java, line(s) 5 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8.java, line(s) 10
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a66a6aaa6aaaa66aa/i2ii2i2ii2i2i2iiii222iii2i22i22222ii222.java, line(s) 63,72,77,85 cc4cc4c4c4444444ccc44c444c444c4444444c444cc4444c4c4cccccc4cc/i2ii2i2ii2i2i2iiii222iii2i22i22222ii222.java, line(s) 59,64,73,79,85,94,101 cc4cc4c4c4444444ccc44c444c444c4444444c444cc4444c4c4cccccc4cc/qq7q777q7777777q7qq77q777777qq7q77q777q7q7q777777q7q7q7qq777qq7qq7q7qq77q7qq7q77q7.java, line(s) 72,74,82,84,52,54,42,44 ccc8ccc88888cc888cc8c88ccc8cccc8c8cccc88ccccccc8cc8ccc8ccccc8cc88/i5ii5i555iii55ii5.java, line(s) 20 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/a66a6aaa6aaaa66aa.java, line(s) 34,66,113,141,158,218,238 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/hhhh555hh555hh5h5555555555hhhh5h55h55hh55h555hhh55hhhhhhhhh55h5h555555555h55h5h5.java, line(s) 32,44,51,60 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/ooo66o66666ooo66ooo6o66o66o66o6o666.java, line(s) 97 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/oooo44o4o4o44444o44ooo4oooo4o4o44o444444o4oo4oo44ooo4oo.java, line(s) 72 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/pp4p4p4p4444444pp44pp4444p444ppp4pp4p4pp444ppp.java, line(s) 79,96,70 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/q4qq4q444444qqqq44qqqqq44q4qqqqqq4444q44q4q4qq4qq4qq44q44444qq4q4qqq44q444qq4qqqq44444qqqq4q.java, line(s) 31 d77d7d77ddddd7dd7d7d77dddddddddd77ddd7777dd777d7dd77dd77d7dddd7dd77dd7d77dd7777ddd7dd7d777/y2y2y2222yyyyyyy22yyyy2222yy22y22y2y222yyy2222y2y2222y2yy22y22.java, line(s) 35,167,34 ee333333ee3e33ee3ee3e33ee3e3e333e33ee3eeee333ee333e3eeeeeee333/i00iiii0ii00ii00i00iiii0iiii0i0i0000ii000i0i00000ii0i0iiiii0iiiii00i0iii0i000.java, line(s) 45 ee333333ee3e33ee3ee3e33ee3e3e333e33ee3eeee333ee333e3eeeeeee333/i2ii2i2ii2i2i2iiii222iii2i22i22222ii222.java, line(s) 42,47 ee333333ee3e33ee3ee3e33ee3e3e333e33ee3eeee333ee333e3eeeeeee333/ll5l5l55l5l55lll5lll5ll55l5ll5ll555ll555lll5l55l555l5l555ll5ll5ll5llll5l5l55ll5555l55lll.java, line(s) 55,159 ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8/i2ii2i2ii2i2i2iiii222iii2i22i22222ii222.java, line(s) 51 ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 78,87 ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8/n7nnnn77777n777nnn77nnnnnnnn7n7n77nn7777n777nnnn77n7777nn.java, line(s) 366,435 ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8/nn666nnnn6nnn6n6n6nnn66666nnn6n66nnn66666nn666nnnn6n6n6n66n6n66nn66nnnnn.java, line(s) 658 ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8/qq7q777q7777777q7qq77q777777qq7q77q777q7q7q777777q7q7q7qq777qq7qq7q7qq77q7qq7q77q7.java, line(s) 813,1333,1563,1569,1570,1571,1580,1636,1642,1643,1644,1653,1704,376,961,1418,1425,1495 iii8i8iii88iii8i88i88i888ii8i88i88iii88ii8iiiiii88i88i8888i8ii8i8i88ii8ii88ii888888iii8iiiii8i88i/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 39 iiiii3ii33333iii3i33ii3i3i3i3i33ii3333iii3iiiiii3i3i333i33ii3ii3i333333i33i/ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8.java, line(s) 17,16 j88jjjjjjjjjjjj88j8j8j8jjjjj888j8j88jjjjjjjj88888jj8j8jjj88jjjjjjjj88jj8j8jj888j88888jj888j/ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888.java, line(s) 315 m7mmmm77777mm77777mmmmm7mm77m777m77m77m77m7777mmmm7m7m7mm7mmm77mm7m777m/nn0n0nnn0n00n0nnn0nnn0nn00n0000nnnnn0.java, line(s) 363 m7mmmm77777mm77777mmmmm7mm77m777m77m77m77m7777mmmm7m7m7mm7mmm77mm7m777m/nn666nnnn6nnn6n6n6nnn66666nnn6n66nnn66666nn666nnnn6n6n6n66n6n66nn66nnnnn.java, line(s) 118,167,170 n4nn44nn4nn4n4n44n44nn4/n7nnnn77777n777nnn77nnnnnnnn7n7n77nn7777n777nnnn77n7777nn.java, line(s) 22 net/fbuahq/ybcvljgvlqm/Service.java, line(s) 426,427,428,429,430,431,432,433,434,435,436,437,438,439,440,441,442,443,444,445,446,447,448,449,450,451,452,453,454,455,456,457,458,459,460,461,462,463,464,465,466,467,468,469,470,471,472,473,474,475,476,477,478,479,480,481,482,483,484,485,486,487,488,489,490,491,492,493,494,495,496,497,498 nn0n0nnn0n00n0nnn0nnn0nn00n0000nnnnn0/ll5l5l55l5l55lll5lll5ll55l5ll5ll555ll555lll5l55l555l5l555ll5ll5ll5llll5l5l55ll5555l55lll.java, line(s) 89,126,138,148 nn0n0nnn0n00n0nnn0nnn0nn00n0000nnnnn0/n7nnnn77777n777nnn77nnnnnnnn7n7n77nn7777n777nnnn77n7777nn.java, line(s) 192 o8o8oo8o8888o888o888o8ooo8oo8o888ooo8888o/ee00e0ee0e0000eee00000e0eeee0e0ee000e0eee0000e0eee0e00e000000e00eee0.java, line(s) 151 o8o8oo8o8888o888o888o8ooo8oo8o888ooo8888o/jjjj5555555555jjj555j55j5555jj55jjjj55jj5j555jjj555jjj55jjjjj.java, line(s) 135,80 o8o8oo8o8888o888o888o8ooo8oo8o888ooo8888o/w5555w5555ww55w55ww5.java, line(s) 47 o8o8oo8o8888o888o888o8ooo8oo8o888ooo8888o/xx77x7xx7xxx77x77x777xxx7x7xx7x77xx7x7x777xx777x77x7xxx7777xx7xx7777777x777x7xx7xx7xx77xx7xxxxxxxx7.java, line(s) 437 o9oooo99ooo9ooooooooooooooo999oo/i5ii5i555iii55ii5.java, line(s) 77 pp4p4p4p4444444pp44pp4444p444ppp4pp4p4pp444ppp/i2ii2i2ii2i2i2iiii222iii2i22i22222ii222.java, line(s) 40 qq1qqqqqqqqq1qq1qqq11q1q111q11q1q1111qq1111qqq1q11/i5ii5i555iii55ii5.java, line(s) 4255,4090 qqq7q77qqq7q7q777q77qqqqq777q77qqq/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 36 qqqq66qqq6qqq6qqqqq66q66q6666qq66666666qq/oooo44o4o4o44444o44ooo4oooo4o4o44o444444o4oo4oo44ooo4oo.java, line(s) 35 r11r111r1rr1rrr1rrr1111rr1111rr111r1111rrrr11r1rr1/ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888.java, line(s) 115,157 rr000rr0rrr0r0r00rrr0r0rr0r/eee66e66e6ee666ee66eeee6e6e6eeeeeeee6e6666e66eeee6e666e6666e666e6eee66eeee66ee6.java, line(s) 330,1186,2337,2461 w5555w5555ww55w55ww5/a66a6aaa6aaaa66aa.java, line(s) 127,130,135 w5555w5555ww55w55ww5/n3nnnn3n3nnnnnn3nn3n3nn33n3n333nn333333nn3n3nn333nn3nnnn333nn3n3333n3nnn33nn33nnn33n3nn3nnnnn.java, line(s) 71,83 w5555w5555ww55w55ww5/nn0n0nnn0n00n0nnn0nnn0nn00n0000nnnnn0.java, line(s) 76,133 w5555w5555ww55w55ww5/xx1x1xx11xxx1x111x1111x1xxx11xxx111x1xxx1xxxx11xxx11x1x11111x1xxxx111xx1xx1xx11x1x.java, line(s) 65 w7w777w7wwwwwwww7w7www777w7w7777w77777777www7w7777ww7ww77w777777w7w77ww7ww7w77ww77w/ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888.java, line(s) 361 w9wwwww99999w9w99ww9ww9wwww99www999w9w999w9wwwww99www99w/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 27,48 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/ggg88888g88ggg8888g8ggg8gg8ggg88888g88g888gggggg8.java, line(s) 55 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/j88jjjjjjjjjjjj88j8j8j8jjjjj888j8j88jjjjjjjj88888jj8j8jjj88jjjjjjjj88jj8j8jj888j88888jj888j.java, line(s) 210 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/jj1jj11jjj1jjjjjjj111jj1111jj111j1111jj111j1j1jjjjjj11.java, line(s) 96,110 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/ooo66o66666ooo66ooo6o66o66o66o6o666.java, line(s) 452,454,457,667,675,327,330,755 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/rr111r1111r11rrr1rrrr11rr1r11rrrrr11rrrr11111rrr11r111.java, line(s) 53 ww8ww88wwwww8www88www88w888w88888888w8w88w888w8ww8w888/xx77x7xx7xxx77x77x777xxx7x7xx7x77xx7x7x777xx777x77x7xxx7777xx7xx7777777x777x7xx7xx7xx77xx7xxxxxxxx7.java, line(s) 303,80,86,92 xx333xx333xxx33x333xxx333xxxxxx33x3xx333x3333x3x33x3xx3xxx3x333xxxxx33x3x3xx333x33/i00iiii0ii00ii00i00iiii0iiii0i0i0000ii000i0i00000ii0i0iiiii0iiiii00i0iii0i000.java, line(s) 123,281
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: ii222i22i222i22222i2i222i2i222ii2ii22i22i22i2iiii2ii22iii2iiiiiii22i2iiiii222i22ii2i22iiii2ii22/i00iiii0ii00ii00i00iiii0iiii0i0i0000ii000i0i00000ii0i0iiiii0iiiii00i0iii0i000.java, line(s) 53,52,88,63,51,51 ii222i22i222i22222i2i222i2i222ii2ii22i22i22i2iiii2ii22iii2iiiiiii22i2iiiii222i22ii2i22iiii2ii22/j88jjjjjjjjjjjj88j8j8j8jjjjj888j8j88jjjjjjjj88888jj8j8jjj88jjjjjjjj88jj8j8jj888j88888jj888j.java, line(s) 49,48,108,47,47 ii222i22i222i22222i2i222i2i222ii2ii22i22i22i2iiii2ii22iii2iiiiiii22i2iiiii222i22ii2i22iiii2ii22/nn666nnnn6nnn6n6n6nnn66666nnn6n66nnn66666nn666nnnn6n6n6n66n6n66nn66nnnnn.java, line(s) 49,48,47 ii222i22i222i22222i2i222i2i222ii2ii22i22i22i2iiii2ii22iii2iiiiiii22i2iiiii222i22ii2i22iiii2ii22/xx1x1xx11xxx1x111x1111x1xxx11xxx111x1xxx1xxxx11xxx11x1x11111x1xxxx111xx1xx1xx11x1x.java, line(s) 48,47,46,46
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。