安全分析报告: 天天打字 v3.0.1

安全分数


安全分数 44/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 2
中危 16
信息 2
安全 0
关注 9

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/bytedance/ad/common/uaid/identity/utils/EncryptUtils.java, line(s) 25

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity-Alias (com.umeng.commonsdk.LauncherAuthNewUI) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.tencent.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity-Alias (com.weenter.iexpress.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.bytedance.ads.convert.BDBridgeActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/bytedance/ad/common/uaid/identity/utils/EncryptUtils.java, line(s) 67
com/czhj/devicehelper/oaId/helpers/g.java, line(s) 100
com/czhj/devicehelper/oaId/helpers/h.java, line(s) 99

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/ss/android/downloadlib/d/b.java, line(s) 4,5,16,21

中危 IP地址泄露 

IP地址泄露


Files:
com/bytedance/ads/convert/BuildConfig.java, line(s) 12
com/bytedance/ads/convert/utils/BusinessConstant.java, line(s) 17
com/bytedance/ads/convert/utils/EventReporter.java, line(s) 91
com/bytedance/ads/convert/utils/EventReporterV2.java, line(s) 72
com/bytedance/ads/convert/utils/EventReporterV3.java, line(s) 53
com/ss/android/download/api/constant/BaseConstants.java, line(s) 36

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/bytedance/ad/common/uaid/identity/utils/EncryptUtils.java, line(s) 78

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/ss/android/downloadlib/addownload/h.java, line(s) 394
com/ss/android/downloadlib/addownload/k.java, line(s) 247,249
com/ss/android/downloadlib/g/m.java, line(s) 363,343,436

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/l.java, line(s) 7
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/m.java, line(s) 7

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
090E4DEDAD9B1CB57EA1538871ED468A7
90E4DEDAD9B1CB57EA1538871ED468A7
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5se07mkN71qsSJHjZ2Z0+Z+4LlLvf2sz7Md38VAa3EmAOvI7vZp3hbAxicL724ylcmisTPtZQhT/9C+25AELqy9PN9JmzKpwoVTUoJvxG4BoyT49+gGVl6s6zo1byNoHUzTfkmRfmC9MC53HvG8GwKP5xtcdptFjAIcgIR7oAWQIDAQAB
tgIBkg304BUpjGHLSq1wYYb0Xs77pMIm

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/bytedance/ad/common/uaid/identity/utils/RequestBodyUtils.java, line(s) 74
com/bytedance/ads/convert/BDBridgeActivity.java, line(s) 83,47,80,92,23,44,60,88
com/bytedance/ads/convert/BDConvert.java, line(s) 83,58
com/bytedance/ads/convert/broadcast/StickyBroadcastManager.java, line(s) 29,58
com/bytedance/ads/convert/utils/ClickIdHeaderTimelyCallback.java, line(s) 31,33
com/bytedance/ads/convert/utils/ClickIdSPUtil.java, line(s) 49
com/bytedance/ads/convert/utils/EventReporter.java, line(s) 53,59,63,137,157,166,173,155
com/bytedance/ads/convert/utils/EventReporterV2.java, line(s) 42,48,115,129,151,161,127
com/bytedance/ads/convert/utils/EventReporterV3.java, line(s) 24,27,87
com/bytedance/ads/convert/utils/NetWorkUtils.java, line(s) 16,43,51
com/czhj/devicehelper/DeviceHelper.java, line(s) 52,66,103,112,162,188,213,69
com/czhj/devicehelper/cnadId/a.java, line(s) 37,46
com/czhj/devicehelper/oaId/helpers/DevicesIDsHelper.java, line(s) 207,59,104,145,192,198,273,279
com/czhj/devicehelper/oaId/helpers/a.java, line(s) 27,53
com/czhj/devicehelper/oaId/helpers/b.java, line(s) 52,67,73,78
com/czhj/devicehelper/oaId/helpers/c.java, line(s) 55,70,81,96,99,123,144
com/czhj/devicehelper/oaId/helpers/e.java, line(s) 27
com/czhj/devicehelper/oaId/helpers/f.java, line(s) 36
com/czhj/devicehelper/oaId/helpers/g.java, line(s) 81,94,110
com/czhj/devicehelper/oaId/helpers/h.java, line(s) 80,93,109
com/czhj/devicehelper/oaId/helpers/i.java, line(s) 25,29,54
com/czhj/devicehelper/oaId/helpers/j.java, line(s) 103
com/czhj/devicehelper/oaId/helpers/k.java, line(s) 24,38
com/czhj/devicehelper/oaId/helpers/l.java, line(s) 52,64,85,28,45,70,88
com/czhj/devicehelper/oaId/interfaces/a.java, line(s) 30
com/czhj/devicehelper/oaId/interfaces/c.java, line(s) 32,59,81,103
com/czhj/devicehelper/oaId/interfaces/d.java, line(s) 34,36,37
com/czhj/devicehelper/oaId/interfaces/e.java, line(s) 34,36,37
com/czhj/volley/CacheDispatcher.java, line(s) 80,92,44,173,36,65,161
com/czhj/volley/NetworkDispatcher.java, line(s) 54
com/czhj/volley/Request.java, line(s) 135,140
com/czhj/volley/RequestQueue.java, line(s) 71
com/czhj/volley/VolleyLog.java, line(s) 61,64,95,51,100,119,110,115,123
com/czhj/volley/VolleyThreadFactory.java, line(s) 8
com/czhj/volley/toolbox/BasicNetwork.java, line(s) 179,144,47,139,150,159
com/czhj/volley/toolbox/FileDownloadNetwork.java, line(s) 158,84,131,141
com/czhj/volley/toolbox/FileDownloadRequest.java, line(s) 52
com/czhj/volley/toolbox/HttpHeaderParser.java, line(s) 153
com/czhj/volley/toolbox/ImageRequest.java, line(s) 88
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/e.java, line(s) 322,328,381,393,397,401,409,418,422,671,677,729,741,745,920,926
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/g.java, line(s) 43,51,59,78,94,101,109,142,352,358,364,383
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/h.java, line(s) 35,43,51,59,67,80,106,108,285,291,297
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/j.java, line(s) 307,313
com/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/k.java, line(s) 43,49,56,64,73,94,104,111,115,127,134,349,362,366,372,378
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/a.java, line(s) 43
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/b.java, line(s) 152,156,165,171
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/d.java, line(s) 326,330,340,346
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/e.java, line(s) 196,200,209,215
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/f.java, line(s) 207,211,220,226,404,408,417,423
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/h.java, line(s) 41,48,71,79,87,95,103,111,131,145,206,224,240,260,264,273,279,295
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/i.java, line(s) 42,53,75,83,89,97,103,109,114,119,188,240,244,253,259
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/k.java, line(s) 43,68,76,81,89,94,106,114,122,130,137,143,292,296,305,311
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/l.java, line(s) 41,51,71,98,106,114,125,145,207,229,236,256,260,269,275,334
com/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/hPdm9gro/n.java, line(s) 99
com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 39,42
com/sigmob/windad/Splash/WindSplashAD.java, line(s) 332,51
com/sigmob/windad/WindAds.java, line(s) 351,92,140,320,358,362,259,295,331,356,279
com/sigmob/windad/natives/WindNativeUnifiedAd.java, line(s) 71,137,170
com/sisK7t/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/du4ncLmVZ6/t.java, line(s) 7
com/ss/android/downloadlib/g/l.java, line(s) 20,24

信息 应用程序可以写入应用程序目录。敏感信息应加密 

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/bytedance/ad/common/uaid/identity/AbsUAIDFetcher.java, line(s) 44,55,44,55

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。 

{'ip': '112.82.145.9', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (nisportal.10010.com) 通信。 

{'ip': '124.64.196.20', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '221.231.47.223', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (msg.cmpassport.com) 通信。 

{'ip': '221.231.47.223', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。 

{'ip': '121.228.130.194', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield.com) 通信。 

{'ip': '221.230.244.89', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (analytics.oceanengine.com) 通信。 

{'ip': '221.231.83.102', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (id6.me) 通信。 

{'ip': '42.123.76.150', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。 

{'ip': '121.228.130.196', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

安全评分: ( 天天打字 3.0.1)