移动应用安全检测报告:
安全基线评分
安全基线评分 54/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
1
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
1
中危安全漏洞
17
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
中危安全漏洞 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危安全漏洞 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Activity-Alias (com.android.ui.ActivityAlias) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.igg.andr.MainActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity-Alias (com.android.ui.ActivityAlias10) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.anydesk.adcontrol.ControlService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.service.DeviceReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: O00O0/O000.java, line(s) 44 O0oOO/OOOO.java, line(s) 509 OOOOoO/O00O00.java, line(s) 87 OoO0O/O000OO0.java, line(s) 33 OoO0O/O0O00OO.java, line(s) 144 OoOo00/O00O.java, line(s) 53
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: O0O00o/OO00.java, line(s) 35 O0O00o/OOOO0.java, line(s) 8 O0OOO0/O0O00O.java, line(s) 23 O0o0/OOOO0.java, line(s) 18 OOO0Oo/OO0OO0.java, line(s) 4 OOO0Oo/OOO0OO.java, line(s) 23 OOOOoO/O0O00.java, line(s) 15 Oo0oo/O0OO0.java, line(s) 8 OoOo00/O00O.java, line(s) 8 Ooo0O0/O000O.java, line(s) 3 Ooo0O0/O00O0.java, line(s) 3
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: Oo00OO/OOO0OO0.java, line(s) 5,6,28,85,88,91,94,97,100,103,106,136,168 OoOo0/OOOO0OO0.java, line(s) 6,254 OoOo0/OOOO0OOO.java, line(s) 5,6,214,215,48,86 OoOo0/OOOOO000.java, line(s) 6,66 OoOo0/OOOOO0OO.java, line(s) 4,140 OoOo0/OOOOOO00.java, line(s) 5,27
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: OO00O/OOOO00.java, line(s) 46 OoO0O/O000OO0.java, line(s) 45,46 OoO0O/O00OO0.java, line(s) 113 OoO0O/O00OOO0.java, line(s) 18 com/igg/andr/App.java, line(s) 214
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: O0O00o/OO00.java, line(s) 194 Oo00OO/OO000.java, line(s) 105 OoO00/OO0O000.java, line(s) 58
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: Oo00/OOO0OOO.java, line(s) 215,213
中危安全漏洞 IP地址泄露
IP地址泄露 Files: Oo00OO/OOOO.java, line(s) 70
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "pwd" : "Password" "imt_pwd" : "Password" "coin_authorize" : "Authorize" 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 bb392ec0-8d4d-11e0-a896-0002a5d5c51b c06c8400-8e06-11e0-9cb6-0002a5d5c51b
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: O00O/OOO0O0O.java, line(s) 152 O0O0o/O0O0O.java, line(s) 69,75,116,125,99,111 O0O0o/OO0OOO.java, line(s) 88 O0O0o/OOOO.java, line(s) 33 O0O0o0/O0O0.java, line(s) 36 O0o0/O0OOO0.java, line(s) 32,41,48,57 O0o0/OOO00.java, line(s) 116 O0o0/OOO00O.java, line(s) 203 O0o0/OOOO0O.java, line(s) 111 O0o0/OOOOO0.java, line(s) 697 O0oO0O/OOO0O00.java, line(s) 214,232 O0oO0O/OOO0OOO.java, line(s) 72,86 O0oOO/O0OO0.java, line(s) 200 O0oooo/OO00000O.java, line(s) 17,21,22 OO00O/OO00O0O.java, line(s) 158 OO00O/OO0OO00.java, line(s) 36 OO0O/O000OO0.java, line(s) 83 OO0O/O0OOO.java, line(s) 115,152,164,174,392 OOO0Oo/O000.java, line(s) 183,232,247,257 OOO0Oo/O0OO.java, line(s) 205,264,291,333,231,236,244,267,302,309,312,329,356,371 OOO0Oo/O0OOO.java, line(s) 71 OOO0Oo/OO000.java, line(s) 51 OOO0Oo/OO0O0.java, line(s) 63 OOO0Oo/OO0OO.java, line(s) 38 OOO0Oo/OOO0.java, line(s) 22,34,35,81,84 OOO0Oo/OOO0O.java, line(s) 146,75,124,144 OOO0Oo/OOOO00.java, line(s) 25 OOO0Oo/OOOO0O.java, line(s) 25 OOOOoO/O00000.java, line(s) 68,57,62,126,131 OOOOoO/O0000O.java, line(s) 19,29,44 OOOOoO/O0O0OO0.java, line(s) 27 OOOOoO/O0O0OOO.java, line(s) 27 OOOOoO/O0OOOO0.java, line(s) 335,289,291,292,295,297,299,312,315,320,321,324,326,328,331,337 OOOOoO/O0OOOOO.java, line(s) 39,59,68,76,94,135,198 OOOOoO/OOO0OOO.java, line(s) 28 OOOOoO/OOOOO0O.java, line(s) 106,122,71,100,109,118,135,141 OOoo/O0OOOO0.java, line(s) 34,27,41,54,13,20 OOoo/OO00O00.java, line(s) 359,375,207 Oo00/O00000.java, line(s) 44 Oo00/O0000O.java, line(s) 99,143,220,234 Oo00/O00O0O.java, line(s) 135 Oo00/O0O000.java, line(s) 362,201,206,345 Oo00/O0OO0.java, line(s) 136 Oo00/O0OOO.java, line(s) 192 Oo00/OO000O.java, line(s) 94,163,172,291 Oo00/OOO000.java, line(s) 391,406,416,426 Oo00/OOO00OO.java, line(s) 28 Oo00/OOO0OO0.java, line(s) 131,210 Oo00/OOOO0O0.java, line(s) 174,172 Oo0O0/O000O.java, line(s) 14 Oo0O0/O0O0.java, line(s) 498 Oo0O0/O0OO.java, line(s) 93,324,331 Oo0O0/OO000.java, line(s) 35,59 Oo0O0/OO0O00.java, line(s) 129,170 Oo0O0/OO0OO.java, line(s) 50,38,42 Oo0O0/OOOO0.java, line(s) 135,152 Oo0OOo/OOO0OO.java, line(s) 27 Oo0OOo/OOOO0O.java, line(s) 27 Oo0oO0/OOO0.java, line(s) 225 Oo0oO0/OOO00.java, line(s) 27 Oo0oO0/OOOO0.java, line(s) 27 Oo0oo/O000O.java, line(s) 476,747,771,777,916,969,1056,1265,1306,1309,1374,1399,1467,1485,1620,1672,1693,1707,1789,1800,1807,1842,1887,97,905,926,934,1160,1444,1449,1564,1729,1738 Oo0oo/O00O0O0.java, line(s) 20 OoO0/O0000.java, line(s) 71,76,95 OoO0/O0O0O0O.java, line(s) 111 OoO0/O0OOOO0.java, line(s) 284,364 OoO0/OO0O0.java, line(s) 59 OoO0/OO0OO.java, line(s) 642,659,1809,1811,1813,686,953,956,1165,1719 OoO0/OOO00.java, line(s) 77 OoO0/OOO0O00.java, line(s) 50,53,57,64,69 OoO0O/O00OO0.java, line(s) 70,94,68,97 OoO0O/O0O00OO.java, line(s) 49 OoO0O/O0OO.java, line(s) 69 OoO0O/OO00.java, line(s) 32 OoO0O/OOOOO.java, line(s) 60 OoO0O/OOOOO000.java, line(s) 392 OoOo0/O000O0.java, line(s) 22 OoOo0/O000OO.java, line(s) 252 OoOo0/O0O00.java, line(s) 57 OoOo0/O0O00O0.java, line(s) 150,172,840,852,859,868,141,579 OoOo0/OO00.java, line(s) 727,158,638 OoOo0/OO0000O.java, line(s) 48,59 OoOo0/OO00O00.java, line(s) 888,869,887,788 OoOo0/OO0O0.java, line(s) 54,244 OoOo0/OO0OO.java, line(s) 44 OoOo0/OOO00.java, line(s) 56 OoOo0/OOO000O.java, line(s) 39,56,80,136,155,168,234 OoOo0/OOO0O.java, line(s) 38 OoOo0/OOO0O0.java, line(s) 33 OoOo0/OOOO0.java, line(s) 102,107 OoOo0/OOOOO0.java, line(s) 21,25,29 Ooo000/O00O.java, line(s) 72,79 Ooo0O0/O0O00.java, line(s) 84,170,176,182,197 Ooo0O0/O0O0O.java, line(s) 167 OooOO/O00OO0O.java, line(s) 331 OooOO/O0O0O0O.java, line(s) 19,18 OooOO/O0OO00.java, line(s) 38 OooOO/OO0OO0.java, line(s) 136 OooOO/OOO0O000.java, line(s) 25 OooOO/OOO0OO.java, line(s) 68 OooOO/OOOO00.java, line(s) 150,153,154,155,159 com/aliyun/sls/android/producer/LogProducerHttpTool.java, line(s) 71,74,77 com/example/android/camera/utils/AutoFitSurfaceView.java, line(s) 46 com/fanjun/keeplive/service/RemoteService.java, line(s) 98,103 o00oo/O0OOO.java, line(s) 54
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: O0O0oO/OO0OO0.java, line(s) 132,111,131,130,130 O0O0oO/OO0OOO.java, line(s) 69,68,67,67 O0O0oO/OOO0O0.java, line(s) 88,75,87,93,86,86 O0O0oO/OOO0OO.java, line(s) 68,67,66
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: Oo00OO/OOO0.java, line(s) 27,27,27,27,27 Oo00OO/OOOO.java, line(s) 321