安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
4
中危
21
信息
2
安全
1
关注
10
高危 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nirvana/tools/core/CryptUtil.java, line(s) 146
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/nirvana/tools/core/UTSharedPreferencesHelper.java, line(s) 16,9 com/nirvana/tools/logger/utils/UTSharedPreferencesHelper.java, line(s) 31
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 49,8
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity设置了TaskAffinity属性
(com.szcck.lovekey.activity.WXPayEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.szcck.lovekey.activity.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.fd.lovekeyboard.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.fd.lovekeyboard.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.szcck.lovekey.activity.OldMainActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.szcck.lovekey.activity.SplashActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.szcck.lovekey.service.ImeService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INPUT_METHOD [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.bytedance.ads.convert.BDBridgeActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/alicom/tools/networking/NetConstant.java, line(s) 10,19 com/alicom/tools/networking/SSLFactory.java, line(s) 23,24,14,15 com/nirvana/tools/logger/UaidTracker.java, line(s) 21,22,23 com/nirvana/tools/logger/utils/LocalDeviceUtil.java, line(s) 13 com/nirvana/tools/logger/utils/UTSharedPreferencesHelper.java, line(s) 14,15 com/szcck/lovekey/model/entity/AccountBean.java, line(s) 645 com/szcck/lovekey/model/entity/Order.java, line(s) 213 com/szcck/lovekey/model/entity/PresetBaseBean.java, line(s) 119 com/szcck/lovekey/utils/SignUtil.java, line(s) 28
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alicom/tools/networking/ParamsUtils.java, line(s) 53 com/coorchice/library/utils/STVUtils.java, line(s) 55 com/just/agentweb/AgentWebUtils.java, line(s) 580 com/nirvana/tools/core/AppUtils.java, line(s) 114 com/nirvana/tools/core/CryptUtil.java, line(s) 198 com/nirvana/tools/logger/utils/LocalDeviceUtil.java, line(s) 20 com/szcck/lovekey/utils/DeviceUtil.java, line(s) 114 com/szcck/lovekey/utils/SignUtil.java, line(s) 86
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alicom/tools/networking/ParamsUtils.java, line(s) 83 com/jg/ids/i/i.java, line(s) 145
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/just/agentweb/AgentWebUtils.java, line(s) 294,364 com/szcck/lovekey/utils/FileUtils.java, line(s) 35 top/zibin/luban/LubanUtils.java, line(s) 28,30
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/nirvana/tools/logger/cache/db/AbstractDatabase.java, line(s) 6,388 com/nirvana/tools/logger/cache/db/DBHelper.java, line(s) 4,5,23
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 39,23
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "authsdk_app_name" : "PhoneNumberAuthSDK" nsjV57o+phSlqM0B5aPiMScxWJmCzFRX4NKcjt6KGP+3GpzmTyrpavnYQtHasperH n+APJWeeIsUEJHi0FSf3EmwAtNgcJwLYed8Lrem+2+qvFY8RRjH3w4jT/wl2HKGEY MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/YHP9utFGOhGk7Xf5L7jOgQz5 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCLShWjAtxJv3g2VPIYOOAv4rnVDdLkdseKm7+KOkCBLV9SKY5oqksFaXcLZ+nRnjnczhze5eGKhevwliUyag6x96GyXI2WagKIoB7Uwl2byl0xB5bNvYzf+x/DKHTSoGJshU6shXWXcjGFq+mUiPhM3WGZoqdY+vvqOWD+tga8XQIDAQAB 014a06685f0JVDULT/MIGfMA0GCSqGSIb3DQEBAQUAA4G n4aw0AoExz4atTkUlZJIf9eNLj7ogTlQGANNzE2R/uskFse2GsCqJKFTk4UraBkzf ngZlTTem7Pjdm1V9bJgQ6iQvFHsvT+vNgJ3wAIRd+iCMXm8y96yZhD2+SH5odBYS2 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5se07mkN71qsSJHjZ2Z0+Z+4LlLvf2sz7Md38VAa3EmAOvI7vZp3hbAxicL724ylcmisTPtZQhT/9C+25AELqy9PN9JmzKpwoVTUoJvxG4BoyT49+gGVl6s6zo1byNoHUzTfkmRfmC9MC53HvG8GwKP5xtcdptFjAIcgIR7oAWQIDAQAB MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6YCzxZS0FaWDOdtwgcHJ
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/alicom/tools/networking/PopRequest.java, line(s) 78,121 com/alicom/tools/networking/Request.java, line(s) 76 com/alicom/tools/networking/SSLFactory.java, line(s) 67 com/alicom/tools/networking/StringUtil.java, line(s) 15 com/beloo/widget/chipslayoutmanager/ChipsLayoutManager.java, line(s) 269,275,276,277,286,291,370,383,384,410,436,437,535,536,568,576,583,591,603,609,632,653,375,546,388 com/beloo/widget/chipslayoutmanager/cache/ViewCacheStorage.java, line(s) 105,60 com/beloo/widget/chipslayoutmanager/util/log/AndroidLog.java, line(s) 9,29,24,14,19 com/beloo/widget/chipslayoutmanager/util/log/FillLogger.java, line(s) 24,25,40,50,56,62,63 com/bytedance/ads/convert/BDBridgeActivity.java, line(s) 88,52,85,28,49,65 com/bytedance/ads/convert/BDConvert.java, line(s) 51,88,93 com/bytedance/ads/convert/broadcast/StickyBroadcastManager.java, line(s) 31 com/bytedance/ads/convert/contentprovider/TTDownloaderContentProviderManager.java, line(s) 29,57,66,69 com/bytedance/ads/convert/utils/ClickIdHeaderTimelyCallback.java, line(s) 23,26 com/bytedance/ads/convert/utils/ClickIdSPUtil.java, line(s) 49 com/bytedance/ads/convert/utils/EventReporter.java, line(s) 135,141,126 com/contrarywind/view/WheelView.java, line(s) 344 com/coorchice/library/utils/LogUtils.java, line(s) 31,37,55,67,73,43,49,19,25,61 com/hjq/toast/ToastLogInterceptor.java, line(s) 38 com/just/agentweb/AgentWebUtils.java, line(s) 160,128,129,134,151 com/just/agentweb/AgentWebView.java, line(s) 56,84,94,38,216 com/just/agentweb/DefaultChromeClient.java, line(s) 260,266 com/just/agentweb/JsCallJava.java, line(s) 127,67,43,82 com/just/agentweb/JsCallback.java, line(s) 69 com/just/agentweb/LogUtils.java, line(s) 13,31,41,19,36 com/nirvana/tools/core/BaseDelegate.java, line(s) 20,12 com/nirvana/tools/core/EncryptUtils.java, line(s) 54,105 com/nirvana/tools/core/MobileNetRequestManager.java, line(s) 132,45,72,100,126,135,156 com/nirvana/tools/core/NetworkUtils.java, line(s) 31,44,67 com/nirvana/tools/logger/cache/db/AbstractDatabase.java, line(s) 33 com/nirvana/tools/logger/cache/db/DBHelper.java, line(s) 27,37 com/nirvana/tools/logger/utils/ConsoleLogUtils.java, line(s) 14,20,26,32,38 com/szcck/lovekey/activity/BindPhoneActivity.java, line(s) 232 com/szcck/lovekey/activity/HomePurchasingActivity.java, line(s) 397 com/szcck/lovekey/activity/LoginActivity.java, line(s) 386 com/szcck/lovekey/activity/MyKeyboardActivity.java, line(s) 215 com/szcck/lovekey/activity/PrivacyAgreementActivity.java, line(s) 220 com/szcck/lovekey/activity/PurchasingActivity.java, line(s) 212,291,442 com/szcck/lovekey/api/CommonInterceptor.java, line(s) 31 com/szcck/lovekey/base/BaseActivity.java, line(s) 160,259 com/szcck/lovekey/sdk/CsjSDK.java, line(s) 66,75,27,29,76 com/szcck/lovekey/sdk/SDKHelper.java, line(s) 296 com/szcck/lovekey/service/ImeService.java, line(s) 141 com/szcck/lovekey/utils/DateUtil.java, line(s) 40 com/szcck/lovekey/utils/DeviceUtil.java, line(s) 133,158 com/szcck/lovekey/utils/LogUtil$log$logFun$1.java, line(s) 19 com/szcck/lovekey/utils/LogUtil$log$logFun$2.java, line(s) 19 com/szcck/lovekey/utils/LogUtil$log$logFun$3.java, line(s) 19 com/szcck/lovekey/utils/LogUtil$log$logFun$4.java, line(s) 19 com/szcck/lovekey/utils/LogUtil$log$logFun$5.java, line(s) 19 com/szcck/lovekey/utils/LogUtil.java, line(s) 63 com/tbuonomo/viewpagerdotsindicator/DotsIndicator.java, line(s) 82 com/wang/avi/AVLoadingIndicatorView.java, line(s) 203 me/jessyan/autosize/AutoSize.java, line(s) 169 me/jessyan/autosize/AutoSizeConfig.java, line(s) 108,125,134,199 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 21,31,34,15,28 me/jessyan/autosize/utils/AutoSizeLog.java, line(s) 23,35,29 org/greenrobot/eventbus/Logger.java, line(s) 32,37 pub/devrel/easypermissions/AppSettingsDialog.java, line(s) 69 pub/devrel/easypermissions/EasyPermissions.java, line(s) 133,135 pub/devrel/easypermissions/helper/ActivityPermissionHelper.java, line(s) 36 pub/devrel/easypermissions/helper/BaseSupportPermissionsHelper.java, line(s) 20 razerdp/basepopup/BasePopupHelper.java, line(s) 578,584 razerdp/basepopup/BasePopupUnsafe.java, line(s) 100 razerdp/basepopup/BasePopupWindow.java, line(s) 1108,438,574,1104 razerdp/basepopup/PopupWindowProxy.java, line(s) 77 razerdp/basepopup/QuickPopupConfig.java, line(s) 75 razerdp/basepopup/WindowManagerProxy.java, line(s) 269,285,295,53,75,93,132,328,353 razerdp/blur/BlurHelper.java, line(s) 82,123,59,62,96,99,110,113,127,147 razerdp/blur/BlurImageView.java, line(s) 78,90,94,124,298,320,83,88,137,170,236,252,254,301 razerdp/util/PopupUiUtils.java, line(s) 45,137,145 razerdp/util/animation/BaseAnimationConfig.java, line(s) 109,110 razerdp/util/log/PopupLog.java, line(s) 77,81,85,93,89,91 top/zibin/luban/Luban.java, line(s) 87,86 top/zibin/luban/LubanUtils.java, line(s) 64 top/zibin/luban/io/LruArrayPool.java, line(s) 86,124,87,125
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/szcck/lovekey/utils/ClipboardUtil.java, line(s) 4,24,40,42
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/alicom/tools/networking/SSLFactory.java, line(s) 64,61,60,60 com/szcck/lovekey/api/RetrofitUtil.java, line(s) 25,25,34
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (id6.me) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.189.cn) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (analytics.oceanengine.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '徐州', 'latitude': '34.266666', 'longitude': '117.166664'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (eco.taobao.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (msv6.wosms.cn) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (verify.cmpassport.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-e189.21cn.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (opencloud.wostore.cn) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.cmpassport.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': 'd Islands [Malvinas]\x02FM Micronesia (Federated States of)\x02FO\rFaroe Islands\x02FR\x06France\x02GA\x05Gabon\x02GB4United Kingdom', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (nisportal.10010.com) 通信。
{'ip': '221.231.92.232', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}