安全分析报告:
安全分数
安全分数 46/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
5
中危
22
信息
1
安全
2
关注
7
高危 应用程序使用了调试证书进行签名
应用程序使用了调试证书进行签名。生产环境的应用程序不能使用调试证书发布。
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 程序可被任意调试
[android:debuggable=true] 应用可调试标签被开启,这使得逆向工程师更容易将调试器挂接到应用程序上。这允许导出堆栈跟踪和访问调试助手类。
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/gszh/myfirst/ui/index/IndexActivity.java, line(s) 239,236,237,238,239,240,241,242,243,244,245,246,446
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/gszh/myfirst/BuildConfig.java, line(s) 3,6
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (com.gszh.myfirst.location.LocationService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (cn.jpush.android.service.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.JNotifyActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.DActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.DActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/gszh/myfirst/data/EnvironmentShare.java, line(s) 13,17 com/gszh/myfirst/ui/index/IndexActivity.java, line(s) 585 com/gszh/myfirst/util/CrashHandler.java, line(s) 121,122 com/gszh/myfirst/util/DeviceUtils.java, line(s) 147 com/gszh/myfirst/util/FileUtils.java, line(s) 48 com/yzq/zxinglibrary/decode/ImageUtil.java, line(s) 25 com/zhd/code/dev/U.java, line(s) 32
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/yzq/zxinglibrary/android/Intents.java, line(s) 65
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/gszh/myfirst/ui/index/IndexActivity.java, line(s) 339,340,341,344,243
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/zhd/communication/al.java, line(s) 10
中危 IP地址泄露
IP地址泄露 Files: com/gszh/myfirst/util/VersionManager.java, line(s) 34,25,27,29,14,16,22,31,37,39
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/amitshekhar/utils/DatabaseHelper.java, line(s) 5,19
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/azhon/appupdate/utils/FileUtil.java, line(s) 42 com/zhd/communication/bf.java, line(s) 27
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 腾讯Bugly SDK的=> "BUGLY_APP_CHANNEL" : "com.gszh.myfirst" 极光推送的=> "JPUSH_APPKEY" : "fe5192aeb1f3aa4f8800d945" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 1d129a313eb9c4bbecaed76e94df8224b5352421c208ba2eb88763646a318ac1 23a18904a1ce76061bc5046c5e55ea76 0783b03e-8535-b5a0-7140-a304d2495cb8 e77583e23473b4fc3a60082c18860c40 0783b03e-8535-b5a0-7140-a304d2495cba 0783b03e-8535-b5a0-7140-a304d2495cb7
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/amitshekhar/DebugDB.java, line(s) 31,35,22,23 com/amitshekhar/server/ClientServer.java, line(s) 35,50 com/amitshekhar/utils/Utils.java, line(s) 102 com/azhon/appupdate/utils/LogUtil.java, line(s) 50,14,20,26,32,38,44,56 com/gszh/myfirst/location/LoginJsInterface.java, line(s) 55,131,136,142,176,182,189,196,218,223 com/gszh/myfirst/location/PortalLocation.java, line(s) 42,68,116,118,120,126,134,158,162,170,176,182,206,210,218,224,230,44 com/gszh/myfirst/network/NetWorkManager.java, line(s) 30 com/gszh/myfirst/ui/index/IndexActivity.java, line(s) 202,215,335,405,458,487,674,702,714,742,748,786,836,839,877,170,192,506,847,865,870,148,232,234,297,345,655,691,727,792,809,814,819,825,830 com/gszh/myfirst/ui/index/LocationJsIntf.java, line(s) 58,62,99 com/gszh/myfirst/ui/index/X5ProcessInitService.java, line(s) 21,28 com/gszh/myfirst/util/CrashHandler.java, line(s) 112,134 com/gszh/myfirst/util/DeviceUtils.java, line(s) 92,150,197,206 com/gszh/myfirst/util/FileUtils.java, line(s) 43,60 com/gszh/myfirst/util/SharedPreferencesUtils.java, line(s) 34 com/gszh/myfirst/util/VersionManager.java, line(s) 108 com/yzq/zxinglibrary/android/BeepManager.java, line(s) 70 com/yzq/zxinglibrary/android/CaptureActivity.java, line(s) 81,215,196,199 com/yzq/zxinglibrary/android/InactivityTimer.java, line(s) 88,37,43 com/yzq/zxinglibrary/camera/AutoFocusManager.java, line(s) 46,59,82 com/yzq/zxinglibrary/camera/CameraConfigurationManager.java, line(s) 29,42,64,88,105,146,157 com/yzq/zxinglibrary/camera/CameraManager.java, line(s) 156,198,71,70,79 com/yzq/zxinglibrary/camera/OpenCameraInterface.java, line(s) 32,40,15,37 com/yzq/zxinglibrary/camera/PreviewCallback.java, line(s) 34 com/yzq/zxinglibrary/decode/DecodeImgThread.java, line(s) 48 com/yzq/zxinglibrary/encode/CodeCreator.java, line(s) 75,94 com/zhd/code/dev/SerialPort.java, line(s) 43,73,91,112 com/zhd/code/dev/ZHDRegister.java, line(s) 174 com/zhd/communication/as.java, line(s) 46 com/zhd/communication/au.java, line(s) 598,668 com/zhd/communication/be.java, line(s) 94 com/zhd/communication/bu.java, line(s) 104 com/zhd/communication/ck.java, line(s) 39 org/greenrobot/eventbus/Logger.java, line(s) 86,91 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 188 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 25 pub/devrel/easypermissions/EasyPermissions.java, line(s) 138,140,34 pub/devrel/easypermissions/helper/ActivityPermissionHelper.java, line(s) 38 pub/devrel/easypermissions/helper/BaseSupportPermissionsHelper.java, line(s) 22
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/zhd/code/dev/SerialPort.java, line(s) 48,98
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/gszh/myfirst/network/NetWorkManager.java, line(s) 35,35
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.zhdirtk.com) 通信。
{'ip': '156.232.228.78', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-push.in.meizu.com) 通信。
{'ip': '206.161.233.191', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '206.161.233.191', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (norma-external-collect.meizu.com) 通信。
{'ip': '206.161.233.191', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-push.meizu.com) 通信。
{'ip': '206.161.233.191', 'country_short': 'CN', 'country_long': '中国', 'region': '反恐精英', 'city': '东莞', 'latitude': '23.048780', 'longitude': '113.745003'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.samsung.com) 通信。
{'ip': '117.91.193.4', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。
{'ip': '206.161.233.191', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}