安全分析报告: 动物烹饪嘉年华 v1.86.04

安全分数


安全分数 29/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

4

用户/设备跟踪器


调研结果

高危 13
中危 14
信息 2
安全 1
关注 11

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 域配置配置为信任用户安装的证书。 

Scope:
i.snssdk.com
is.snssdk.com
pangolin.snssdk.com
extlog.snssdk.com
sf3-ttcdn-tos.pstatp.com
bds.snssdk.com
dig.bdurl.net
api-access.pangolin-sdk-toutiao.com
sf1-fe-tos.pglstatp-toutiao.com
sf1-be-pack.pglstatp-toutiao.com
sf3-fe-tos.pglstatp-toutiao.com
log-api.pangolin-sdk-toutiao.com
s3-fe-scm.pglstatp-toutiao.com
s3a.pstatp.com
api-access.pangolin-sdk-toutiao-b.com
log-api.pangolin-sdk-toutiao-b.com
dm.pstatp.com
toblog.ctobsnssdk.com
sdfp.snssdk.com
tosv.byted.org
sf1-ttcdn-tos.pstatp.com
sf6-fe-tos.pglstatp-toutiao.com
log.snssdk.com
tosv.boe.byted.org
api.pinduoduo.com
gecko-pangle-lf.snssdk.com
gecko-pangle-hl.snssdk.com
gecko-pangle-lq.snssdk.com
lf3-geckocdn-tos.pstatp.com
lf6-geckocdn-tos.pstatp.com
v3-be-pack.pglstatp-toutiao.com
tnc3-alisc1.snssdk.com
tnc3-bjlgy.snssdk.com
tnc3-aliec2.snssdk.com

高危 Activity (com.mintegral.msdk.activity.MTGCommonActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (org.cocos2dx.javascript.AppActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.bytedance.sdk.openadsdk.stub.activity.Stub_SingleTask_Activity_T) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.bytedance.sdk.openadsdk.stub.activity.Stub_SingleTask_Activity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.ss.android.downloadlib.activity.TTDelegateActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.ss.android.downloadlib.activity.JumpKllkActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.ss.android.socialbase.appdownloader.view.DownloadTaskDeleteActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.ss.android.socialbase.appdownloader.view.JumpUnknownSourceActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 WebView域控制不严格漏洞 

WebView域控制不严格漏洞


Files:
com/mintegral/msdk/mtgjscommon/base/BaseWebView.java, line(s) 50,49

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/mintegral/msdk/click/f.java, line(s) 297,14,15
com/mintegral/msdk/reward/a/c.java, line(s) 227,1394,10
com/mintegral/msdk/video/module/MintegralH5EndCardView.java, line(s) 340,16

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
org/cocos2dx/javascript/Util.java, line(s) 141,23,24,25

中危 域配置配置为信任系统证书。 

Scope:
i.snssdk.com
is.snssdk.com
pangolin.snssdk.com
extlog.snssdk.com
sf3-ttcdn-tos.pstatp.com
bds.snssdk.com
dig.bdurl.net
api-access.pangolin-sdk-toutiao.com
sf1-fe-tos.pglstatp-toutiao.com
sf1-be-pack.pglstatp-toutiao.com
sf3-fe-tos.pglstatp-toutiao.com
log-api.pangolin-sdk-toutiao.com
s3-fe-scm.pglstatp-toutiao.com
s3a.pstatp.com
api-access.pangolin-sdk-toutiao-b.com
log-api.pangolin-sdk-toutiao-b.com
dm.pstatp.com
toblog.ctobsnssdk.com
sdfp.snssdk.com
tosv.byted.org
sf1-ttcdn-tos.pstatp.com
sf6-fe-tos.pglstatp-toutiao.com
log.snssdk.com
tosv.boe.byted.org
api.pinduoduo.com
gecko-pangle-lf.snssdk.com
gecko-pangle-hl.snssdk.com
gecko-pangle-lq.snssdk.com
lf3-geckocdn-tos.pstatp.com
lf6-geckocdn-tos.pstatp.com
v3-be-pack.pglstatp-toutiao.com
tnc3-alisc1.snssdk.com
tnc3-bjlgy.snssdk.com
tnc3-aliec2.snssdk.com

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.mintegral.msdk.activity.MTGCommonActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.mintegral.msdk.click.AppReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (com.mintegral.msdk.shell.MTGService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/mintegral/msdk/MIntegralConstans.java, line(s) 17,41
com/mintegral/msdk/base/common/e/b.java, line(s) 152
com/mintegral/msdk/base/entity/CampaignEx.java, line(s) 158,35
com/mintegral/msdk/base/entity/q.java, line(s) 344,379,392,415,429,457,474,491,516,544,569,579,600,609,626,632,652,662,683,694,734,749,762

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/mintegral/msdk/base/b/i.java, line(s) 4,43
com/mintegral/msdk/mtgdownload/d.java, line(s) 6,7,75
com/ss/android/downloadlib/d/b.java, line(s) 4,5,18
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 5,6,46

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/mintegral/msdk/base/common/e/b/a.java, line(s) 84
com/mintegral/msdk/base/utils/e.java, line(s) 466
com/mintegral/msdk/base/utils/i.java, line(s) 63,90,114
com/mintegral/msdk/mtgdownload/e.java, line(s) 567
com/mintegral/msdk/optimize/SensitiveDataUtil.java, line(s) 39
com/ss/android/downloadlib/addownload/g.java, line(s) 362
com/ss/android/downloadlib/addownload/j.java, line(s) 253,255
com/ss/android/downloadlib/g/l.java, line(s) 345,325,421
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 204

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/mintegral/msdk/mtgdownload/e.java, line(s) 41
com/mintegral/msdk/reward/c/b.java, line(s) 9

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/mintegral/msdk/base/utils/d.java, line(s) 18
com/mintegral/msdk/mtgdownload/e.java, line(s) 457,480

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/jg/ids/e/d.java, line(s) 82
org/cocos2dx/javascript/Util.java, line(s) 208

中危 IP地址泄露 

IP地址泄露


Files:
com/mintegral/msdk/base/common/net/h.java, line(s) 56,64,46,67

中危 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/iab/omid/library/mintegral/d/c.java, line(s) 11
com/mintegral/msdk/base/common/b/e.java, line(s) 35
com/mintegral/msdk/base/utils/d.java, line(s) 20
com/mintegral/msdk/base/utils/g.java, line(s) 32,38,70,75,44,50,56,62
com/mintegral/msdk/click/g.java, line(s) 315
com/mintegral/msdk/video/module/MintegralBaseView.java, line(s) 57,62
com/mintegral/msdk/videocommon/view/MyImageView.java, line(s) 27
org/cocos2dx/javascript/AppActivity.java, line(s) 321,356,367,378,411,418,516,524,531,570,118,270,330,401,442,492,552
org/cocos2dx/javascript/AppUtils.java, line(s) 107
org/cocos2dx/javascript/GDT/GuangDianTong.java, line(s) 107,133,138,142,160,164,168,172
org/cocos2dx/javascript/GDT/GuangDianTong_InterstitialAD.java, line(s) 140,152,158,170,174,180,185,189,193,197,201,205,209,217,221,133
org/cocos2dx/javascript/TimingTool.java, line(s) 34,39,44,49,52,55,150
org/cocos2dx/javascript/TouTiao/TTAdManagerHolder.java, line(s) 47,51
org/cocos2dx/javascript/TouTiao/TouTiaoBanner.java, line(s) 212,289
org/cocos2dx/javascript/TouTiao/TouTiao_InteractionAd.java, line(s) 140,149,154,159,164,216
org/cocos2dx/javascript/Util.java, line(s) 175,62,68,73,81,92,97,177,181,185,196,161
org/cocos2dx/lib/CanvasRenderingContext2DImpl.java, line(s) 427,465
org/cocos2dx/lib/Cocos2dxActivity.java, line(s) 234,263,275,292,311,483,485,490,168,395,165,238
org/cocos2dx/lib/Cocos2dxAudioFocusManager.java, line(s) 16,18,28,36,44,62,71,65,73
org/cocos2dx/lib/Cocos2dxEditBox.java, line(s) 158,193
org/cocos2dx/lib/Cocos2dxGLSurfaceView.java, line(s) 266
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 159,169,173,334,336,338,388
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 43,60,87,102,121,197,215,225,236,334,75
org/cocos2dx/lib/Cocos2dxLocalStorage.java, line(s) 52,129
org/cocos2dx/lib/Cocos2dxReflectionHelper.java, line(s) 11,14,17,20,30,33,36,39
org/cocos2dx/lib/Cocos2dxVideoHelper.java, line(s) 341
org/cocos2dx/lib/Cocos2dxVideoView.java, line(s) 131,410,414
org/cocos2dx/lib/Cocos2dxWebView.java, line(s) 35,71,79

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
org/cocos2dx/lib/Cocos2dxHelper.java, line(s) 6,318

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
org/cocos2dx/javascript/Util.java, line(s) 109,141
org/cocos2dx/lib/Cocos2dxHttpURLConnection.java, line(s) 83,79,80,80

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。 

{'ip': '218.94.206.161', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (analytics.rayjump.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (setting.rayjump.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hb.rayjump.com) 通信。 

{'ip': '112.126.29.58', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (net.rayjump.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cdn-adn-https.rayjump.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hybird.rayjump.com) 通信。 

{'ip': '61.147.211.151', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '218.94.206.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

安全评分: ( 动物烹饪嘉年华 1.86.04)