安全分析报告:
安全分数
安全分数 52/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
5
用户/设备跟踪器
调研结果
高危
2
中危
14
信息
1
安全
2
关注
0
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: bolts/WebViewAppLinkResolver.java, line(s) 122,6,7
高危 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity (com.avocode.android.qaqar.ui.activities.Panorama360Viewer) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.avocode.android.qaqar.ui.activities.browseEstatePhotos.BrowseEstateImages) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.avocode.android.qaqar.ui.activities.reportReview.ReportReview) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.avocode.android.qaqar.ui.activities.editEstate.EditEstate) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.avocode.android.qaqar.fireBaseMessaging.FCMMessagingService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: bolts/WebViewAppLinkResolver.java, line(s) 112,87
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: bolts/MeasurementEvent.java, line(s) 19,20 com/avocode/android/qaqar/network/ApiRequests.java, line(s) 19,38,42 com/avocode/android/qaqar/utils/Constants.java, line(s) 57,33,81,127
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/avocode/android/qaqar/utils/FileUtils.java, line(s) 170,173,304
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/avocode/android/qaqar/utils/FileUtils.java, line(s) 472
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.google.android.geo.API_KEY" : "@string/google_maps_key" "facebook_app_id" : "357508382484055" "google_api_key" : "AIzaSyD9UG04ZyS-aiAKMLGYubJJRS2NQk4KgdY" "google_app_id" : "1:153788260624:android:a02c083fe00fa9d7cfc595" "google_crash_reporting_api_key" : "AIzaSyD9UG04ZyS-aiAKMLGYubJJRS2NQk4KgdY" "google_maps_key" : "AIzaSyD9UG04ZyS-aiAKMLGYubJJRS2NQk4KgdY" "password" : "Password" cc2751449a350f668590264ed76692694a80308a df6b721c8b4d3b6eb44c861d4415007e5a35fc95 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 9b8f518b086098de3d77736f9458a3d2f6f95a37 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bolts/MeasurementEvent.java, line(s) 61,73 com/avocode/android/qaqar/adapters/CustomInfoWindowAdapter.java, line(s) 84 com/avocode/android/qaqar/adapters/EditedBlueprintsAdapter.java, line(s) 49,50,51 com/avocode/android/qaqar/adapters/EstateFeaturesAdapter.java, line(s) 74 com/avocode/android/qaqar/adapters/EstateFurnishingsAdapter.java, line(s) 61 com/avocode/android/qaqar/adapters/EstateImagesAdapter.java, line(s) 50,51,52 com/avocode/android/qaqar/application/QaqarApp.java, line(s) 33,37 com/avocode/android/qaqar/fireBaseMessaging/FCMMessagingService.java, line(s) 34,80,42 com/avocode/android/qaqar/network/NetworkUtils.java, line(s) 19,30 com/avocode/android/qaqar/ui/activities/BasicActivity.java, line(s) 60,254 com/avocode/android/qaqar/ui/activities/addEstateLocationMap/AddEstateLocationMap.java, line(s) 136 com/avocode/android/qaqar/ui/activities/agentDetails/AgentDetailsActivity.java, line(s) 74 com/avocode/android/qaqar/ui/activities/companyDetails/CompanyDetailsActivity.java, line(s) 71 com/avocode/android/qaqar/ui/activities/createAccount/CreateAccount.java, line(s) 144,151 com/avocode/android/qaqar/ui/activities/editEstate/EditEstate.java, line(s) 257 com/avocode/android/qaqar/ui/activities/estateDetails/EstateDetails.java, line(s) 170,325 com/avocode/android/qaqar/ui/activities/estateDetailsMap/EstateDetailsMap.java, line(s) 42,43,44,45,46 com/avocode/android/qaqar/ui/activities/estateFilter/EstateFilterActivity.java, line(s) 102,275 com/avocode/android/qaqar/ui/activities/login/LoginActivity.java, line(s) 121,169,198,224,230,233,241,246,262 com/avocode/android/qaqar/ui/activities/main/MainActivity.java, line(s) 69,288 com/avocode/android/qaqar/ui/activities/main/UserMainActivity.java, line(s) 55 com/avocode/android/qaqar/ui/activities/nearYouMap/NearYouMap.java, line(s) 192,200 com/avocode/android/qaqar/ui/activities/search/SearchActivity.java, line(s) 147,167,176,186,227,238,248 com/avocode/android/qaqar/ui/activities/userProfileEdit/UserProfileEdit.java, line(s) 292,293,298,302 com/avocode/android/qaqar/ui/fragments/addEstateStepThree/AddEstateStepThreeFrag.java, line(s) 170,178,202 com/avocode/android/qaqar/ui/fragments/addFrag/AddEstateFrag.java, line(s) 155,279 com/avocode/android/qaqar/ui/fragments/addFrag/AddFragRepo.java, line(s) 37 com/avocode/android/qaqar/ui/fragments/companiesAndMediators/CompaniesRepo.java, line(s) 32,50 com/avocode/android/qaqar/ui/fragments/homeFrag/HomeFrag.java, line(s) 169,314 com/avocode/android/qaqar/ui/fragments/map/MapFrag.java, line(s) 247,273 com/avocode/android/qaqar/utils/FileUtils.java, line(s) 345 com/avocode/android/qaqar/utils/TouchImageView.java, line(s) 199 com/avocode/android/qaqar/utils/ViewModelFactory.java, line(s) 24 com/hbb20/CCPCountry.java, line(s) 1518,1520,1538 com/hbb20/CountryCodePicker.java, line(s) 1500,1524,957,960,1516,1744
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/avocode/android/qaqar/network/RetrofitUtils.java, line(s) 22,22
安全 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/153788260624/namespaces/firebase:fetch?key=AIzaSyD9UG04ZyS-aiAKMLGYubJJRS2NQk4KgdY ) 已禁用。响应内容如下所示: 响应码是 403