安全分析报告:
安全分数
安全分数 43/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
5
中危
21
信息
1
安全
1
关注
13
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 程序可被任意调试
[android:debuggable=true] 应用可调试标签被开启,这使得逆向工程师更容易将调试器挂接到应用程序上。这允许导出堆栈跟踪和访问调试助手类。
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nimbusds/jose/crypto/AESCBC.java, line(s) 30 com/nimbusds/jose/jca/JCASupport.java, line(s) 160
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/pn/androidgame/app/BuildConfig.java, line(s) 3,23
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 341,25,26
中危 基本配置配置为信任系统证书。
Scope: *
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Broadcast Receiver (com.learnium.RNDeviceInfo.RNDeviceReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.taobao.accs.ChannelService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.taobao.accs.data.MsgDistributeService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (org.android.agoo.accs.AgooService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.umeng.message.UmengIntentService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.umeng.message.XiaomiIntentService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.umeng.message.UmengMessageIntentReceiverService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 IP地址泄露
IP地址泄露 Files: com/nimbusds/jose/jwk/Curve.java, line(s) 18,19,20 org/android/spdy/SpdyAgent.java, line(s) 300 org/android/spdy/SpdyRequest.java, line(s) 27,52,70,91,114,132,157,175,196,219
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/RNFetchBlob/RNFetchBlobFS.java, line(s) 247,269,238,239,240,241,242,243,244,246,259,260,267,910 com/RNFetchBlob/Utils/PathResolver.java, line(s) 30 com/learnium/RNDeviceInfo/RNDeviceModule.java, line(s) 224 com/pn/androidgame/app/util/DataCleanManager.java, line(s) 48 com/pn/androidgame/app/util/WDevice.java, line(s) 428 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 331,328 com/rnfs/RNFSManager.java, line(s) 919,909,913
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/RNFetchBlob/RNFetchBlobBody.java, line(s) 174 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 332
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/microsoft/codepush/react/CodePushConstants.java, line(s) 5,31,7,19,28,20,12,18,26,27,21,22,25,29,23 com/microsoft/codepush/react/CodePushTelemetryManager.java, line(s) 15,20,24,17,22,23,25 com/pn/androidgame/app/BuildConfig.java, line(s) 19,20 com/pn/androidgame/app/umeng/PushModule.java, line(s) 54,56 org/android/spdy/SpdyProtocol.java, line(s) 42
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/RNFetchBlob/RNFetchBlobUtils.java, line(s) 24
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nimbusds/jose/crypto/RSA_OAEP.java, line(s) 18,30
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: org/android/spdy/SpdyBytePool.java, line(s) 3
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 百度地图的=> "com.baidu.lbsapi.API_KEY" : "3mDOi9hXBOv1YQko4FR3klcTcsnc6Xlz" 百度统计的=> "BaiduMobAd_CHANNEL" : "m.agclub.com" 百度统计的=> "BaiduMobAd_STAT_ID" : "bb81a5fd7c" "reactNativeCodePush_androidDeploymentKey" : "TmkwPnsVhHztTbKrTsO-K4Zhd8n0af256146-1b18-4f82-8513-204bc3986496" 2661740802050217063228768716723360960729859168756973147706671368418802944996427808491545080627771902352094241225065558662157113545570916814161637315895999846 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112316 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112319 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057148 6864797660130609714981900799081393217269435300143305409394463459185543183397655394245057746333217197532963996371363321113864768612440380340372808892707005449 wG6vnCNcWMz3DxVdPjOsjcNviTOIHviv6oJNz 27580193559959705877849011840389048093056905856361568521428707301988689241309860865136260764883745107765439761230575 115792089210356248762697446949407573529996955224135760342422259061068512044369 UR9vbvR1qwYaWySM9LvWXKfsrUXPatM0LCkHj aad7c9f7e6308c7efc20ebdedf3356d7 39402006196394479212279040100143613805079739270465446667946905279627659399113263569398956308152294913554433653942643 41058363725152142129326129780047268409114441015993725554835256314039467401291 1093849038073734274511112390766805569936207598951683748994586394495953116150735016013708737573759623248592132296706313309438452531591012912142327488478985984 48439561293906451759052585252797914202762949526041747995844080717082404635286 udQUmsaZhMhIT2Ujxv00bDYczJk1Vj 26247035095799689268623156744566981891852923491109213387815615900925518854738050089022388053975719786650872476732087 3757180025770020463545507224491183603594455134769762486694567779615544477440556316691234405012945539562144444537289428522585666729196580810124344277578376784 5de47aed0cafb2267b000a6c 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057151 115792089210356248762697446949407573530086143415290314195533631308867097853948 36134250956749795798585127919587881956611106672985015071877198253568414405109 8325710961489029985546751289520108179287853048861315594709205902480503199884419224438643760392947333078086511627871 115792089210356248762697446949407573530086143415290314195533631308867097853951
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/RNFetchBlob/RNFetchBlobReq.java, line(s) 735 com/github/yamill/orientation/OrientationModule.java, line(s) 32,136,151 com/github/ybq/android/spinkit/animation/SpriteAnimatorBuilder.java, line(s) 145 com/horcrux/svg/Brush.java, line(s) 114 com/horcrux/svg/ClipPathView.java, line(s) 18 com/horcrux/svg/ImageView.java, line(s) 148 com/horcrux/svg/LinearGradientView.java, line(s) 82 com/horcrux/svg/MaskView.java, line(s) 90 com/horcrux/svg/PatternView.java, line(s) 97 com/horcrux/svg/RadialGradientView.java, line(s) 96 com/horcrux/svg/UseView.java, line(s) 79 com/horcrux/svg/VirtualView.java, line(s) 317,246,281,286 com/microsoft/codepush/react/CodePushUtils.java, line(s) 198,202 com/pn/androidgame/app/util/LogUtils.java, line(s) 60,104,70,50,87 com/pn/androidgame/app/util/UAHelper.java, line(s) 31,44 com/react/rnspinkit/RNSpinkitView.java, line(s) 37 com/reactnativecommunity/webview/RNCWebViewManager.java, line(s) 186,188 com/reactnativecommunity/webview/RNCWebViewModule.java, line(s) 303 com/rnfs/Downloader.java, line(s) 120 com/swmansion/gesturehandler/react/RNGestureHandlerRootHelper.java, line(s) 44,56 com/swmansion/reanimated/nodes/DebugNode.java, line(s) 20 com/taobao/tlog/adapter/AdapterForTLog.java, line(s) 28,34,40,46,52,153 com/taobao/tlog/adapter/TLogConfigSwitchReceiver.java, line(s) 36,91,94,97,100,103 org/android/spdy/NetTimeGaurd.java, line(s) 32,41 org/android/spdy/spduLog.java, line(s) 10,46,22,16,28,34,40
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/RNFetchBlob/RNFetchBlobReq.java, line(s) 719,718,717,717
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (client.aliyun.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (acs.m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (unszacs.m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hws.m.taobao.com) 通信。
{'ip': '203.119.175.189', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cmnsguider.yunos.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (unitacs.m.taobao.com) 通信。
{'ip': '42.120.176.89', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (agoodm.m.taobao.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.tencent.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hydra.alibaba.com) 通信。
{'ip': '203.119.169.76', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}