应用安全检测报告

应用安全检测报告，支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

抖音极速 v2.0.3

Android APK e48e4807...

安全评分

安全基线评分

52/100

低风险

综合风险等级

风险等级评定

应用存在一定安全风险，建议优化

漏洞与安全项分布

1 高危

6 中危

1 信息

1 安全

隐私风险评估

第三方跟踪器

隐私安全
未检测到第三方跟踪器

检测结果分布

高危安全漏洞 1

中危安全漏洞 6

安全提示信息 1

已通过安全项 1

重点安全关注 0

高危安全漏洞默认情况下，调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知，ECB模式很弱，因为它导致相同明文块的密文相同

CODE

默认情况下，调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知，ECB模式很弱，因为它导致相同明文块的密文相同
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/ckmomoqj/mlxrobocujemaqjxbfxjbdmbjfrefbbepdcna/util/a.java, line(s) 46,189

中危安全漏洞应用已启用明文网络流量

MANIFEST

[android:usesCleartextTraffic=true]
应用允许明文网络流量（如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等）。API 级别 27 及以下默认启用，28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护，攻击者可窃听或篡改传输数据。建议关闭明文流量，仅使用加密协议。

中危安全漏洞应用数据允许备份

MANIFEST

[android:allowBackup=true]
该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据，存在数据泄露风险。

中危安全漏洞 Activity (com.limit.cache.ui.page.main.WelComeActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞 Activity-Alias (top.gSncPUzN.AlpSpx.qozgkActivity) 未受保护。

MANIFEST

[android:exported=true]
检测到  Activity-Alias 已导出，未受任何权限保护，任意应用均可访问。

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
凭证信息=> "STUB_DECRYPT_RES_KEY" : "Paq+2C0ZUf9gSIDG8Ly9Ig=="
友盟统计的=> "UMENG_CHANNEL" : "mim05thd"
凭证信息=> "STUB_RES_KEY" : "e4af0b86-c053-4554-baf7-0368f191a77c"
凭证信息=> "JG_AUTH_KEY" : "mrvAGGbnM+7LTXzt/tWridv72UBzMDFeZmeut8Up++U="
YW5kcm9pZC5hcHAuQWN0aXZpdHlUaHJlYWQkUHJvdmlkZXJDbGllbnRSZWNvcmQ=

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/ckmomoqj/mlxrobocujemaqjxbfxjbdmbjfrefbbepdcna/MtGWGTActivity.java, line(s) 21,25,29,33,52,56,65,69,79
com/ckmomoqj/mlxrobocujemaqjxbfxjbdmbjfrefbbepdcna/QmhYvDApp.java, line(s) 41,45,49,53,156,175,221,225,229

已通过安全项此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

抖音极速 v2.0.3

Android APK

综合安全评分

中风险

导航菜单

应用安全检测报告

移动应用安全检测报告

抖音极速 v2.0.3

安全基线评分

52/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

高危安全漏洞 默认情况下，调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知，ECB模式很弱，因为它导致相同明文块的密文相同

中危安全漏洞 应用已启用明文网络流量

中危安全漏洞 应用数据允许备份

中危安全漏洞 Activity (com.limit.cache.ui.page.main.WelComeActivity) 未受保护。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 Activity-Alias (top.gSncPUzN.AlpSpx.qozgkActivity) 未受保护。

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

已通过安全项 此应用程序没有隐私跟踪程序

综合安全基线评分总结

抖音极速 v2.0.3

高危安全漏洞默认情况下，调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知，ECB模式很弱，因为它导致相同明文块的密文相同

中危安全漏洞应用已启用明文网络流量

中危安全漏洞应用数据允许备份

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

已通过安全项此应用程序没有隐私跟踪程序