安全分析报告: Alight Motion Preset v2.28

安全分数


安全分数 45/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

4

用户/设备跟踪器


调研结果

高危 1
中危 11
信息 1
安全 0
关注 2

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/applovin/impl/adview/b.java, line(s) 124,13
com/applovin/impl/sdk/e/t.java, line(s) 36,4

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/applovin/impl/mediation/b/a/a.java, line(s) 37
com/applovin/impl/sdk/o.java, line(s) 1673
com/applovin/mediation/ads/MaxAdView.java, line(s) 113,108
com/applovin/mediation/ads/MaxAppOpenAd.java, line(s) 89,84
com/applovin/mediation/ads/MaxInterstitialAd.java, line(s) 123,118
com/applovin/mediation/ads/MaxRewardedAd.java, line(s) 113,108
com/applovin/mediation/ads/MaxRewardedInterstitialAd.java, line(s) 117,112
com/applovin/mediation/nativeAds/MaxNativeAdLoader.java, line(s) 103,98
com/applovin/sdk/AppLovinSdk.java, line(s) 243
com/applovin/sdk/AppLovinSdkSettings.java, line(s) 192
com/applovin/sdk/AppLovinWebViewActivity.java, line(s) 23

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/applovin/exoplayer2/h/z.java, line(s) 4
com/applovin/impl/c/m.java, line(s) 18

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/applovin/impl/sdk/utils/StringUtils.java, line(s) 168
com/applovin/impl/sdk/utils/r.java, line(s) 368

中危 IP地址泄露 

IP地址泄露


Files:
com/applovin/mediation/adapters/NimbusMediationAdapter.java, line(s) 30

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/alight/motion/preset/cs.java, line(s) 27

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/pierfrancescosoffritti/androidyoutubeplayer/core/player/views/WebViewYouTubePlayer.java, line(s) 125,122

中危 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AppLovin广告SDK的=> "applovin.sdk.key" : "vFBFRXvXuNMXgBC_eGftT5iGN_hJQ2PJ5dyN1sHyX7wTqTHHM8_Cfax2PNKSLcTAc_Lsgt_Zx_lufhudpaiJHS"
"firebase_database_url" : "https://ryu-notif-default-rtdb.firebaseio.com"
"google_api_key" : "AIzaSyBE4WAiBkN7Nf8UMqrp8PpbQlG_MGm_xLU"
NjsrA1k7MDRCUTF6Nl9XIz0iSEomeitIXDw1aElXNiErSFYhJw==
PSAyXUtve2lfWSJ6IURMPSEkWEswJiVCViExKFkWNjsrAk8YZxx7f2UdJHhWGAYiYkgRDAAZQgY1cB9QEQMsR0I7ewdgSCcxNUhMejknRFZ6OiNabDAsMgNSJjso
NDoiX1c8MGhEViExKFkWNDcyRFc7ehBkfQI=
HSrCHRtOan6wp2kwOIGJC1RDtuSrF2mWVbio2aBcMHX9KF3iTJ1lLSzCKP1ZSo5yNolPNw1kCTtWpxELFF4ah1
HDowTFQ8MGZBUSYgZkJIMCYnWVE6Okw=
FBB0FXlgYHdufWcQcRQLEWBzFA9mEQJoDBcRf298bRE=
NjsrA1k5PSFFTHs5KVlROjpoXUowJyNZ
HDowTFQ8MGZZVxshK09dJ3QkQVc2P2ZCSDAmJ1lROjpM
Ihl1d24SZA9PbTsZFEl3JRAeawwvBycbCj0QEUdSLzo=
ZBJzGgphFXYbD2QRABUBYxEEHghiYXMefmVmdB0BbWI=
NjsrA1k7MDRCUTF6Nl9XIz0iSEomeiJCTzs4KUxcJnoiQlsgOSNDTCY=
PSAyXUtve2lfWSJ6IURMPSEkWEswJiVCViExKFkWNjsrAk8YZxx7f2UdJHhWGAYiYkgRDAAZQgY1cB9QEQMsR0I7ewdgSCcxNUhMejknRFZ6JyNfTjAmaEVMODg=
fWt6EE80ICVFZGoie1EXIz0iSFcmezpIVTcxInEXKS0pWEwgeiRIZHooGgJOCXs6cRcwCGlRTzQgJUVkaiJjHnwpIydZWz0IeUtdNCAzX11oJCpMQTAmGUhVNzEiSV0xcjAQRHBmAFtRMTEpXh1nEjpIVTcxIgja1dikrbNnEjpUVyAgMwNaMHF0a0QJezAIChMoGgJdcGYAUU80ICVFZGoie1FdODYjSWRqIi9JXToLL0kFKXIwEEQJazAQRAl7NUVXJyA1cRd8fB1zGwlyGhJkOwlsBA==
HDowTFQ8MGZMSjwgLkBdIT0lTFR1OzZISjQgL0JWXw==
NDoiX1c8MGhEViExKFkWMCwyX1l7AAN1bA==
HDoiSEAaITJiXhc7M0NcJhE+Tl0lIC9CVg==
NjsrA1k7MDRCUTF6I1VMMCYoTFQmIClfWTIxaElXNiErSFYhJw==
79350b666c61fb98f585652cf8eb3be7850d2ab8c16c1e890d0171be2ca2d761
X14DX0o6JmZaUDw4Iw1fMCAyRFYydCNfSjomfA0=
PSAyXUtve2ldVDQtaEpXOjMqSBY2OysCSyE7NEgXNCQ2XhcxMTJMUTkneURcaDcpQBY0OC9KUCF6K0JMPDsoA0gnMTVITA==
PSAyXUtve2lfWSJ6IURMPSEkWEswJiVCViExKFkWNjsrAk8YZxx7f2UdJHhWGAYiYkgRDAAZQgY1cB9QEQMsR0I7ewdgSCcxNUhMejknRFZ6OiNaaz01LUhLez41QlY=
BTgjTEswdCNDWTc4Iw1BOiE0DVw0ICcCbzx5AEQYITtmTFs2MTVeGCE8L14YJTUhSBY=
GztmZFYhMTRDXSF0JUJWOzElWVE6Og==
EzUvQV0xdDJCGCY3J0MYPDknSl11JDRISzAg
NjsoWV07IHwCFzE7MUNUOjUiXhclISRBUTYLIkJPOzgpTFwm
dTsoDWw8PzJCU3R0AkJPOzgpTFx1FSpEXz0gZmBXIT0pQxgFJiNeXSF0J11IdF5MRUwhJDUXF3okKkxBezMpQl85MWhOVzh7NVlXJzFpTEglJ2lJXSE1L0FLaj0iEFs6OWhMVDwzLlkWODsyRFc7ejZfXSYxMg==
FDg0SFkxLWZMXDExIg1MOnQATE46Ji9ZXSZ0KkRLIQ==
PSAyXUtve2lfWSJ6IURMPSEkWEswJiVCViExKFkWNjsrAk8YZxx7f2UdJHhWGAYiYkgRDAAZQgY1cB9QEQMsR0I7ewdgSCcxNUhMejknRFZ6NylBVyd6LF5XOw==
HDowTFQ8MGZeTCc9KEoYOiQjX1khPSlDMg==
BjEnX1s9PShKFnt0NkFdNCcjDU80PTI=
BTgjTEswdDVOWTt0MkVddQUUDVs6MCMNTDp0J05bMCc1DUw9MWZdSjAnI1kW
NDoiX1c8MGhEViExKFkWNDcyRFc7egFobAoXCWNsEBoS
NDoiX1c8MGhdXSc5L15LPDsoA28HHRJoZxAMEmhqGxUKcmsBGxRsfxA=
HDowTFQ8MGZEViExKFkYOiQjX1khPSlD
BiA0RFYyHShJXS0bM1l3MxYpWFYxJwNVWzAkMkRXOw==
NDoiX1c8MGhEViExKFkWMCwyX1l7FQphdwILC3h0AR0WYX0=
PSAyXUtve2lfWSJ6IURMPSEkWEswJiVCViExKFkWNjsrAk8YZxx7f2UdJHhWGAYiYkgRDAAZQgY1cB9QEQMsR0I7ewdgSCcxNUhMejknRFZ6ATZJWSExaEVMODg=
PSAyXUtve2lUVyAgMwNaMHsSHwEiDT51VRJiLQ==
X14CSEw0PSpIXHUxNF9XJ3QrSEsmNSFIAl8=
NDoiX1c8MGhdXSc5L15LPDsoA2oQFQJyfQ0AA392FBgZfmwaBgdqfQ==
ETsxQ1Q6NSINbTs4L0BRITEiDWwnMShJUTszZn1KMCcjWRg6OmZ2GBQ4L0pQIXQLQkw8OygNaCcxNUhMdQlMJ3w6IyhBVzQwZmNXInVMRUwhJDUXF3okKkxBezMpQl85MWhOVzh7NVlXJzFpTEglJ2lJXSE1L0FLaj0iEFs6OWhMVDwzLlkWODsyRFc7ejZfXSYxMg==

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/alight/motion/preset/DashboardActivity.java, line(s) 533
com/applovin/exoplayer2/l/q.java, line(s) 14,40,20,30
com/applovin/impl/sdk/a/f.java, line(s) 65,71,77
com/applovin/impl/sdk/utils/m.java, line(s) 10
com/applovin/impl/sdk/y.java, line(s) 40,49,73,69,100,53,77,61,81
com/iab/omid/library/applovin/utils/d.java, line(s) 18,11

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '185.151.204.101', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.151.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Alight Motion Preset 2.28)