安全分析报告:
安全分数
安全分数 38/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
2
用户/设备跟踪器
调研结果
高危
8
中危
20
信息
2
安全
1
关注
12
高危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.uetoken.cn.activity.SplashActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.igexin.sdk.GActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.uetoken.cn.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.uetoken.cn.wxapi.WXPayEntryActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: s9/a.java, line(s) 18,36,76,94
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: c0/w.java, line(s) 11,12,3 w8/f.java, line(s) 10,11,12,13,14,15,3
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity设置了TaskAffinity属性
(com.igexin.sdk.PushActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.igexin.sdk.GActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.igexin.sdk.GActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.uetoken.cn.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.uetoken.cn.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.uetoken.cn.getui.GeTuiPushService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.igexin.sdk.PushService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.taobao.sophix.aidl.DownloadService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: ad/g.java, line(s) 55,57 com/cjt2325/cameralibrary/a.java, line(s) 598 com/uetoken/cn/activity/ChargeMoneyActivity.java, line(s) 185 com/uetoken/cn/activity/ScanQrCodeActivity.java, line(s) 237 com/uetoken/cn/activity/UserInfoActivity.java, line(s) 195 com/uetoken/cn/base/MyApplication.java, line(s) 152,153 com/uetoken/cn/video/VideoCameraActivity.java, line(s) 103 l6/g.java, line(s) 31,34,37 l6/i.java, line(s) 104,117 l6/k.java, line(s) 221,50,51,223 m2/e.java, line(s) 12 q5/a.java, line(s) 140,312,332 r9/b.java, line(s) 24 r9/g.java, line(s) 21,118 ra/f.java, line(s) 131 v9/l.java, line(s) 230,251,265
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: c0/m.java, line(s) 7 com/hjq/permissions/PermissionFragment.java, line(s) 16 com/uetoken/cn/activity/SplashActivity.java, line(s) 39 f0/a.java, line(s) 5 f0/b.java, line(s) 21 r9/l0.java, line(s) 6 u/j.java, line(s) 6 ub/a.java, line(s) 3 ub/b.java, line(s) 3 vb/a.java, line(s) 3 y8/c.java, line(s) 5
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: c1/h.java, line(s) 87 com/hjq/permissions/StartActivityManager.java, line(s) 11 com/uetoken/cn/bean/GetCodeResaon.java, line(s) 6,7,8 e1/d.java, line(s) 41 e1/p.java, line(s) 103 e1/x.java, line(s) 88 org/jsoup/nodes/Comment.java, line(s) 6 org/jsoup/nodes/DataNode.java, line(s) 6 org/jsoup/nodes/TextNode.java, line(s) 8 org/jsoup/nodes/XmlDeclaration.java, line(s) 6
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/uetoken/cn/tencentx5/X5WebViewActivity.java, line(s) 197,185
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c0/j.java, line(s) 23 d6/e.java, line(s) 63 g0/e.java, line(s) 12 x8/b.java, line(s) 40
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: g0/e.java, line(s) 41 tc/b.java, line(s) 132
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: b0/b.java, line(s) 6,141 b0/d.java, line(s) 6,7,116 w0/a.java, line(s) 4,5,72 w0/c.java, line(s) 3,4,363 w0/d.java, line(s) 5,6,7,170
中危 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 个推–推送服务的=> "PUSH_APPKEY" : "JP8B58lABc823EYLm6mhq7" 个推–推送服务的=> "PUSH_APPID" : "hjt1crrljj8pHTUBwot608" 个推–推送服务的=> "PUSH_APPSECRET" : "ajwZNDA56hAl3uROFJTjo" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "Oc4roLT3pwbi1oGWOqzpwMTi51rafQFm" "library_materialdrawer_authorWebsite" : "http://mikepenz.com/" "str_authorization_dialog" : "OK." "library_materialize_authorWebsite" : "http://mikepenz.com/" "verify_dialog_loginPwd_weak_content" : "OK." "verify_dialog_payPwd_weak_content" : "OK." "verify_dialog_loginPwd_lock_btn" : "Understood" "str_authorization_title" : "Authorize" "library_fastadapter_authorWebsite" : "http://mikepenz.com/" "library_AndroidIconics_authorWebsite" : "http://mikepenz.com/" QrMgt8GGYI6T52ZY5AnhtxkLzb8egpFn3j5JELI8H6wtACbUnZ5cc3aYTsTRbmkAkRJeYbtx92LPBWm7nBO9UIl7y5i5MQNmUZNf5QENurR5tGyo7yJ2G0MBjWvy6iAtlAbacKP0SwOUeUWx5dsBdyhxa7Id1APtybSdDgicBDuNjI0mlZFUzZSS9dmN8lBD0WTVOMz0pRZbR3cysomRXOO1ghqjJdTcyDIxzpNAEszN8RMGjrzyU7Hjbmwi6YNK 5bbaf584b465f592c90000ae 16594f72217bece5a457b4803a48f2da QrMgt8GGYI6T52ZY5AnhtxkLzb8egpFn 840c18270dc7042b7b5df5a3c61f0a7f 2e916ff767facd6e07c9803f14196b16
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a1/b.java, line(s) 281 b1/d.java, line(s) 88 b1/e.java, line(s) 573,601,620 bd/h.java, line(s) 120,160 d1/e.java, line(s) 50,104 e1/h.java, line(s) 312,327,651 e1/i.java, line(s) 56 e1/k.java, line(s) 19 e1/z.java, line(s) 68,85 f1/i.java, line(s) 120,161 f1/j.java, line(s) 87,144,156,179,188,214,223,271 g1/e.java, line(s) 41,65,75 g1/i.java, line(s) 118 i1/t.java, line(s) 72 i1/u.java, line(s) 67,76,91,112 i1/v.java, line(s) 37 k1/j.java, line(s) 88 k6/a.java, line(s) 332 l1/c.java, line(s) 76,84,98 l1/d.java, line(s) 19 l1/h0.java, line(s) 198 l1/l0.java, line(s) 335 l1/m.java, line(s) 180,299,318,335,358,371,382,387,398,411 l1/t.java, line(s) 109,217,251,360,406,437 l1/u.java, line(s) 47,56 l1/y.java, line(s) 97 org/jsoup/examples/HtmlToPlainText.java, line(s) 102 org/jsoup/examples/ListLinks.java, line(s) 52 p1/a.java, line(s) 93,100,107,124 pc/g.java, line(s) 68,73 r1/d.java, line(s) 71,79 r9/r.java, line(s) 33,48 ra/g.java, line(s) 331,350,370,388,401,412,417,428,441,459 t1/i.java, line(s) 20 u1/k.java, line(s) 66 x2/b.java, line(s) 200 y1/a.java, line(s) 66
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: r9/j.java, line(s) 4,23,24 r9/k.java, line(s) 4,32
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: c0/u.java, line(s) 49,50,48,47 w8/c.java, line(s) 49,50,48,47 w8/g.java, line(s) 42,43,41,40
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (url.cn) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (s-gt.getui.com) 通信。
{'ip': '115.227.15.13', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpush-api.aliyun.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.umsns.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (c-hzgt2.getui.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (c.umsns.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '惠州', 'latitude': '39.509766', 'longitude': '116.693001'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk.open.amp.igexin.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk.open.lbs.igexin.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sdk.open.phone.igexin.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pre-c.umsns.com) 通信。
{'ip': '203.119.252.86', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (user-upay.ckv-test.sulink.cn) 通信。
{'ip': '47.97.231.117', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。
{'ip': '115.227.15.233', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}