暴走动漫解谜 v1.3版本 - 安全评分 _南明离火移动安全分析平台

高危应用程序存在Janus漏洞

应用程序使用了v1签名方案进行签名，如果只使用v1签名方案，那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序，以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

高危 Activity (org.cocos2dx.javascript.AppActivity) 的启动模式不是standard模式

MANIFEST

Activity 不应将启动模式属性设置为 "singleTask/singleInstance"，因为这会使其成为根 Activity，并可能导致其他应用程序读取调用 Intent 的内容。因此，当 Intent 包含敏感信息时，需要使用 "standard" 启动模式属性。

高危启用了调试配置。生产版本不能是可调试的

CODE

启用了调试配置。生产版本不能是可调试的
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
org/cocos2dx/lib/BuildConfig.java, line(s) 3,6

中危应用程序数据可以被备份

MANIFEST

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (org.cocos2dx.javascript.LoadSconedActivity) 未被保护。

MANIFEST

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/cocos/analytics/b/f.java, line(s) 6,39
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,45

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
cn/releasedata/Utils.java, line(s) 38,39
org/cocos2dx/javascript/ShareUtil.java, line(s) 38,60,89,112
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 200

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
cn/releasedata/Utils.java, line(s) 31,36

中危 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/cocos/analytics/c/c.java, line(s) 152

中危 SHA-1是已知存在哈希冲突的弱哈希

CODE

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/cocos/analytics/c/c.java, line(s) 51

信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/releasedata/Utils.java, line(s) 197,201
com/cocos/analytics/c/b.java, line(s) 32,18,27,12,38
org/cocos2dx/javascript/AppActivity.java, line(s) 33,41,69,100,108
org/cocos2dx/javascript/ShareUtil.java, line(s) 151,82,128,135
org/cocos2dx/lib/CAAgentWrapper.java, line(s) 23
org/cocos2dx/lib/CanvasRenderingContext2DImpl.java, line(s) 298
org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 197,226,235,251,264,434,436,441,155,346,152,202
org/cocos2dx/lib/Cocos2dxAudioFocusManager.java, line(s) 16,18,28,36,44,62,71,65,73
org/cocos2dx/lib/Cocos2dxEditBox.java, line(s) 107,137
org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 261
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 155,164,168,316,318,320
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 46,63,90,105,124,200,218,228,239,339,78
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 51,128
org/cocos2dx/lib/Cocos2dxReflectionHelper.java, line(s) 11,14,17,20,30,33,36,39
org/cocos2dx/lib/Cocos2dxVideoHelper.java, line(s) 372
org/cocos2dx/lib/Cocos2dxVideoView.java, line(s) 169,237,241,374,379
org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 35,71,79
org/cocos2dx/lib/DataTaskHandler.java, line(s) 13
org/cocos2dx/lib/FileTaskHandler.java, line(s) 16
org/cocos2dx/lib/HeadTaskHandler.java, line(s) 16
org/cocos2dx/mili/mymimi.java, line(s) 7

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 86,82,83,83

安全此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全分析报告：暴走动漫解谜 v1.3

安全分数

安全分数 49/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危应用程序存在Janus漏洞

高危 Activity (org.cocos2dx.javascript.AppActivity) 的启动模式不是standard模式

高危启用了调试配置。生产版本不能是可调试的

中危应用程序数据可以被备份

中危 Activity (org.cocos2dx.javascript.LoadSconedActivity) 未被保护。

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 MD5是已知存在哈希冲突的弱哈希

中危 SHA-1是已知存在哈希冲突的弱哈希

信息应用程序记录日志信息,不得记录敏感信息

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

安全此应用程序没有隐私跟踪程序

安全评分: ( 暴走动漫解谜 1.3)

安全分析报告： 暴走动漫解谜 v1.3

安全分数

安全分数 49/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 应用程序存在Janus漏洞

高危 Activity (org.cocos2dx.javascript.AppActivity) 的启动模式不是standard模式

高危 启用了调试配置。生产版本不能是可调试的

中危 应用程序数据可以被备份

中危 Activity (org.cocos2dx.javascript.LoadSconedActivity) 未被保护。

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 MD5是已知存在哈希冲突的弱哈希

中危 SHA-1是已知存在哈希冲突的弱哈希

信息 应用程序记录日志信息,不得记录敏感信息

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

安全 此应用程序没有隐私跟踪程序

安全评分: ( 暴走动漫解谜 1.3)

安全分析报告：暴走动漫解谜 v1.3

高危应用程序存在Janus漏洞

高危启用了调试配置。生产版本不能是可调试的

中危应用程序数据可以被备份

中危应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

信息应用程序记录日志信息,不得记录敏感信息

安全此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

安全此应用程序没有隐私跟踪程序