安全分析报告: Fortune Cow 6 v1.0.1

安全分数


安全分数 44/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 1
中危 9
信息 1
安全 0
关注 0

高危 WebView域控制不严格漏洞 

WebView域控制不严格漏洞


Files:
game/GameWebActivity.java, line(s) 24,19,22

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (game.GameWebActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
game/GameWebActivity.java, line(s) 21,19

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/appsflyer/internal/AFa1ySDK.java, line(s) 17

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901
E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1
3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/appsflyer/AFLogger.java, line(s) 46,75,138,44,10,64,57
com/appsflyer/internal/AFa1cSDK.java, line(s) 1123,1127,1144,2319,2324,2325,2342,2346,2359,2360,3293,3294,3310,3311
com/appsflyer/internal/AFb1kSDK.java, line(s) 42,47
com/appsflyer/internal/AFc1iSDK.java, line(s) 599
com/appsflyer/internal/AFd1aSDK.java, line(s) 85,135,137,148,153
com/appsflyer/internal/AFd1bSDK.java, line(s) 13
com/appsflyer/internal/AFd1dSDK.java, line(s) 72
com/appsflyer/internal/AFd1fSDK.java, line(s) 94,91,274,90
com/appsflyer/internal/AFd1kSDK.java, line(s) 38
com/appsflyer/internal/AFe1dSDK.java, line(s) 226,1330
com/appsflyer/internal/AFe1pSDK.java, line(s) 118
com/appsflyer/internal/AFe1qSDK.java, line(s) 256
com/appsflyer/internal/AFe1rSDK.java, line(s) 21,38
com/appsflyer/internal/AFe1tSDK.java, line(s) 72,80,89
com/appsflyer/internal/AFe1ySDK.java, line(s) 36
com/appsflyer/internal/AFe1zSDK.java, line(s) 35
com/appsflyer/internal/AFf1ySDK.java, line(s) 67,76
com/appsflyer/internal/AFg1jSDK.java, line(s) 147,174,179,328,148,162,169,175,182
game/AppActivity.java, line(s) 23
game/GameAf.java, line(s) 33,40,52,67,68

安全评分: ( Fortune Cow 6 1.0.1)