移动应用安全检测报告: IndusInd Bank v4.02025.4.17

安全基线评分


安全基线评分 49/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 3
中危安全漏洞 13
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 Activity (com.yDtGqat.TectHViHxq.MainActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 Activity (com.yDtGqat.TectHViHxq.MainAliasActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/example/fcmexpr/tf7z0qUYYy3mzKdc.java, line(s) 18

中危安全漏洞 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Activity-Alias (com.yDtGqat.TectHViHxq.MainAliasActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.yDtGqat.TectHViHxq.InstallReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.KeepAliveJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.FirebaseMessagingKeepAliveService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.example.fcmexpr.keepalive.KeepAliveReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
H7UxVL5vfJlSE90a/Sbf7Wtnooi2LQhOG.java, line(s) 69

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
H7UxVL5vfJlSE90a/j9uoiB3EWBY6uXfX.java, line(s) 31
N9Q6hTO4cm8mDDp1/GNcvcsmvWtZnm8Bb.java, line(s) 108
com/example/fcmexpr/tf7z0qUYYy3mzKdc.java, line(s) 19

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
zg8ABXdFn0kO2pD1/RENWGAzLY6a90vmg.java, line(s) 4,5,116
zg8ABXdFn0kO2pD1/w5RMCNcbUu8OXft3.java, line(s) 7,8,165,189,200,264,521,562,646,705

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
"google_app_id" : "1:469967176169:android:d67d8d7454d4439dbc8b78"
"google_crash_reporting_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
Cxl7F07OW9LbS9wG/GNcvcsmvWtZnm8Bb.java, line(s) 31,52,66
Cxl7F07OW9LbS9wG/GmASdM7j4YWvjzVa.java, line(s) 23
Cxl7F07OW9LbS9wG/Q2DLbYGIkpRrpacG.java, line(s) 56,55
Cxl7F07OW9LbS9wG/Sbf7Wtnooi2LQhOG.java, line(s) 88,101,122,207,264,279,87,100,121,206,263,278,118,138,150,222,286,307
Cxl7F07OW9LbS9wG/aVKZ5YWpZN95VBa2.java, line(s) 24,33,23,32
Cxl7F07OW9LbS9wG/j9uoiB3EWBY6uXfX.java, line(s) 35,48,131,134
Cxl7F07OW9LbS9wG/rL0GDOba7OgnvkzM.java, line(s) 16,13,13
Cxl7F07OW9LbS9wG/xrg5F6AxNh0ciR4u.java, line(s) 35,120,203,34,72,119,173,202,216,242,271,73,174,217,243,272,42,148
GmASdM7j4YWvjzVa/L6yJQJaqGFSot10q.java, line(s) 156
GmASdM7j4YWvjzVa/LqPJdScj7BxnDuSP.java, line(s) 366,371
GmASdM7j4YWvjzVa/ToFKLwKsXbQeV5pi.java, line(s) 54,182
GmASdM7j4YWvjzVa/rL0GDOba7OgnvkzM.java, line(s) 41,81
GmASdM7j4YWvjzVa/sUNpPVt9epZKLAQY.java, line(s) 79
Grkc3MVUikEoZjjJ/Sbf7Wtnooi2LQhOG.java, line(s) 144,174,227
H7UxVL5vfJlSE90a/j9uoiB3EWBY6uXfX.java, line(s) 35,96
HQ0Y41ycv1JsYQoP/j9uoiB3EWBY6uXfX.java, line(s) 71,82
IEOPSf4gjVzRdbCB/bJHoBmSWuXfs5PEj.java, line(s) 440
JKpc8l1EgWSSbjn0/gb5a22R2ABjOMba8.java, line(s) 310,289,293,175
JOL3EZsICIMP2kKZ/Sbf7Wtnooi2LQhOG.java, line(s) 120,135,104
L6yJQJaqGFSot10q/Grkc3MVUikEoZjjJ.java, line(s) 250
L7Zz69Z12tsNc5Oz/GufRPklJVP1221ZZ.java, line(s) 27
L7Zz69Z12tsNc5Oz/Q9ngf23hejPfsvei.java, line(s) 39
L7Zz69Z12tsNc5Oz/guhzMqMAy6V1vEOj.java, line(s) 89,96,216
L7Zz69Z12tsNc5Oz/rL0GDOba7OgnvkzM.java, line(s) 26
L7Zz69Z12tsNc5Oz/sUNpPVt9epZKLAQY.java, line(s) 37,80,86,95,98
L7Zz69Z12tsNc5Oz/xrg5F6AxNh0ciR4u.java, line(s) 23
LEoYzB6y2pbGHzYY/pqHjgxj1LSyuhHDb.java, line(s) 133,209
LqPJdScj7BxnDuSP/FUEMVJdF4NLllb1A.java, line(s) 95,111,125,190
LqPJdScj7BxnDuSP/GNcvcsmvWtZnm8Bb.java, line(s) 165,187
LqPJdScj7BxnDuSP/QqJj6PVdI31Xwhtx.java, line(s) 187,83,95,111,124,348
LqPJdScj7BxnDuSP/RENWGAzLY6a90vmg.java, line(s) 144
LqPJdScj7BxnDuSP/hpKNXP3UOPXi0Hft.java, line(s) 105
LqPJdScj7BxnDuSP/lldKOJOkR7t88nwU.java, line(s) 68
LqPJdScj7BxnDuSP/pw8xGeznWYpZaW2e.java, line(s) 416,200,205,212,305,459
LqPJdScj7BxnDuSP/s2OUNnI912lJSztL.java, line(s) 85
M6HVI0RSJdKwlSuE/guhzMqMAy6V1vEOj.java, line(s) 1034,1038
N9Q6hTO4cm8mDDp1/GNcvcsmvWtZnm8Bb.java, line(s) 102
N9Q6hTO4cm8mDDp1/Grkc3MVUikEoZjjJ.java, line(s) 35,34,49,53,55
N9Q6hTO4cm8mDDp1/LVMAFQGIEu5NW06N.java, line(s) 82,107,120,132,163,167,193,214,226,236,253
N9Q6hTO4cm8mDDp1/M6HVI0RSJdKwlSuE.java, line(s) 49,62,116,160,115,122,122,154,175,188,204
N9Q6hTO4cm8mDDp1/PYx8GtFUMd6UPPS1.java, line(s) 45,44
N9Q6hTO4cm8mDDp1/Tgemv3hvu1j7gGZe.java, line(s) 79,94,38,84,78,91
N9Q6hTO4cm8mDDp1/ZMj6di24PtC1mXdG.java, line(s) 42,52,80,74,119,67,67,77,91,95
N9Q6hTO4cm8mDDp1/Zy6DC3ojEibjBYqY.java, line(s) 84,88,96,110,138,156,165,118,123,146,83,87,95,106,137,155,164,42
N9Q6hTO4cm8mDDp1/awN4KLuY8eX1IeIh.java, line(s) 70
N9Q6hTO4cm8mDDp1/c2OQ6Qo11fHKtrcJ.java, line(s) 78,85,98,108,117,59,62,122,125,128,77,84,97,107
N9Q6hTO4cm8mDDp1/g676t9M5BaNpPV7T.java, line(s) 70,61,62,69,86,87,35
N9Q6hTO4cm8mDDp1/lldKOJOkR7t88nwU.java, line(s) 35
N9Q6hTO4cm8mDDp1/mDQzfADWtRfG77fM.java, line(s) 57,57
N9Q6hTO4cm8mDDp1/mU3pr16E6kvncFHJ.java, line(s) 29
N9Q6hTO4cm8mDDp1/pqHjgxj1LSyuhHDb.java, line(s) 95,98,270,59,74,81,108,118,253,265,293
N9Q6hTO4cm8mDDp1/qQ94FXbBYFzAr5U6.java, line(s) 49,48
N9Q6hTO4cm8mDDp1/rkx12Y4iJeou1QW3.java, line(s) 26,25
N9Q6hTO4cm8mDDp1/s2OUNnI912lJSztL.java, line(s) 112,117,175,180,194,111,116,174,355,97,119,159,167,178,209,266,275,293
N9Q6hTO4cm8mDDp1/uac9eFY89BDxveC2.java, line(s) 71,51,90
O1YIWabjtbwoQ5ZF/guhzMqMAy6V1vEOj.java, line(s) 37,53,60,63,86
O1YIWabjtbwoQ5ZF/smuPbGuzABYgpDm2.java, line(s) 187
PyjB3eHmPVb5qbA6/j9uoiB3EWBY6uXfX.java, line(s) 22
Q2DLbYGIkpRrpacG/gb5a22R2ABjOMba8.java, line(s) 59,90
WZMGd7d7qA6V0YB1/tf7z0qUYYy3mzKdc.java, line(s) 17,38,45,9,10,16,30,37,44,31
WitIYHyN1vlqqnGL/j9uoiB3EWBY6uXfX.java, line(s) 53
ZOYUEDC2CwwxPSes/j9uoiB3EWBY6uXfX.java, line(s) 28
Zy6DC3ojEibjBYqY/rL0GDOba7OgnvkzM.java, line(s) 37,44,47,71,76,81,86,91,99
bHTsX0ISX2WtAT0s/tf7z0qUYYy3mzKdc.java, line(s) 129,69,199
com/example/fcmexpr/keepalive/GmASdM7j4YWvjzVa.java, line(s) 37,45
com/example/fcmexpr/keepalive/KeepAliveServiceMediaPlayback.java, line(s) 118
com/example/fcmexpr/keepalive/bJHoBmSWuXfs5PEj.java, line(s) 210,300,309,350,892,197,1005,425
com/example/fcmexpr/miner/guhzMqMAy6V1vEOj.java, line(s) 84,79
com/example/fcmexpr/miner/tf7z0qUYYy3mzKdc.java, line(s) 116,157,346,86,159,349
com/yDtGqat/TectHViHxq/MainActivity.java, line(s) 105,107,441,444
com/yDtGqat/TectHViHxq/Sbf7Wtnooi2LQhOG.java, line(s) 85
dw2j5MXswWKNVSBP/tf7z0qUYYy3mzKdc.java, line(s) 104,108
g676t9M5BaNpPV7T/JOL3EZsICIMP2kKZ.java, line(s) 53,110
g676t9M5BaNpPV7T/hpKNXP3UOPXi0Hft.java, line(s) 49,63,77,91,100,120,129
g676t9M5BaNpPV7T/qOVSZloNOd1idus4.java, line(s) 967,801,966
g676t9M5BaNpPV7T/y6eCjBVaKwnnahgE.java, line(s) 368,390,232,244,251,260,359,760,779
hwIE7qPbz1CLssZr/gb5a22R2ABjOMba8.java, line(s) 71
iBvqVgl1CNCZszgU/tf7z0qUYYy3mzKdc.java, line(s) 124,158,141,173
iS9lkZ1QY0jA7sGW/GufRPklJVP1221ZZ.java, line(s) 65,84,93
izK2iHCvfYtVbY4I/Sbf7Wtnooi2LQhOG.java, line(s) 117,175,178,112,113,260,266
mDQzfADWtRfG77fM/w5RMCNcbUu8OXft3.java, line(s) 21
oNWOzJaw0fojBz7c/guhzMqMAy6V1vEOj.java, line(s) 348
pw8xGeznWYpZaW2e/ToFKLwKsXbQeV5pi.java, line(s) 31
qOVSZloNOd1idus4/Sbf7Wtnooi2LQhOG.java, line(s) 629
roXKlwDIrJfp7sDW/Sbf7Wtnooi2LQhOG.java, line(s) 118,144,151,158,177,187
srp6KvyEH6Mplubo/GjsBhtSzqHNSnJ0F.java, line(s) 54
srp6KvyEH6Mplubo/GmASdM7j4YWvjzVa.java, line(s) 54,57,86,89,92,155,160
srp6KvyEH6Mplubo/JOL3EZsICIMP2kKZ.java, line(s) 25
srp6KvyEH6Mplubo/Nmi8XUNaKq33xth6.java, line(s) 101
srp6KvyEH6Mplubo/RENWGAzLY6a90vmg.java, line(s) 20
srp6KvyEH6Mplubo/Sbf7Wtnooi2LQhOG.java, line(s) 429,234,240,244,250,447
srp6KvyEH6Mplubo/Tj3VKmEgMQRTGTz3.java, line(s) 24
srp6KvyEH6Mplubo/Z5mcTFB2aHSWmFBZ.java, line(s) 45
srp6KvyEH6Mplubo/fgOaSJeROoOjU9Pv.java, line(s) 64,69
srp6KvyEH6Mplubo/qOVSZloNOd1idus4.java, line(s) 29
srp6KvyEH6Mplubo/tf7z0qUYYy3mzKdc.java, line(s) 18
uZiqbtcd2npHLBDs/Tj3VKmEgMQRTGTz3.java, line(s) 45
uZiqbtcd2npHLBDs/aVKZ5YWpZN95VBa2.java, line(s) 49
uZiqbtcd2npHLBDs/gb5a22R2ABjOMba8.java, line(s) 236,345
uZiqbtcd2npHLBDs/w5RMCNcbUu8OXft3.java, line(s) 49
uZiqbtcd2npHLBDs/xrg5F6AxNh0ciR4u.java, line(s) 226,459
w5RMCNcbUu8OXft3/LqPJdScj7BxnDuSP.java, line(s) 34,33
xrg5F6AxNh0ciR4u/LqPJdScj7BxnDuSP.java, line(s) 199
xrg5F6AxNh0ciR4u/Sbf7Wtnooi2LQhOG.java, line(s) 69
xrg5F6AxNh0ciR4u/pqHjgxj1LSyuhHDb.java, line(s) 34
zpcPOcqk2ToXI5rn/Sbf7Wtnooi2LQhOG.java, line(s) 34

已通过安全项 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/469967176169/namespaces/firebase:fetch?key=AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分: ( IndusInd Bank 4.02025.4.17)