导航菜单
登录 注册

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

VPN China v1.121

Android APK ec40aa38...
53
安全评分

安全基线评分

53/100

低风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

1 高危
23 中危
2 信息
2 安全

隐私风险评估

3
第三方跟踪器

中等隐私风险
检测到少量第三方跟踪器


检测结果分布

高危安全漏洞 1
中危安全漏洞 23
安全提示信息 2
已通过安全项 2
重点安全关注 0

高危安全漏洞 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同 

默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
botX/OoOo.java, line(s) 43

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Activity (com.vpn.lib.feature.naviagation.NavigationActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (com.vpn.lib.feature.banner.BannerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (com.github.shadowsocks.VpnRequestActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (de.blinkt.openvpn.api.ExternalOpenVPNService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (de.blinkt.openvpn.api.GrantPermissionsActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity (de.blinkt.openvpn.api.ConfirmDialog) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (de.blinkt.openvpn.OnBootReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Activity设置了TaskAffinity属性 

(de.blinkt.openvpn.LaunchVPN)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危安全漏洞 Activity (de.blinkt.openvpn.LaunchVPN) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (com.google.android.gms.nearby.exposurenotification.WakeUpService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.nearby.exposurenotification.EXPOSURE_CALLBACK [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 高优先级的Intent (999) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
com/github/shadowsocks/bg/ProxyInstance.java, line(s) 166
com/github/shadowsocks/preference/DataStore.java, line(s) 41,41
de/blinkt/openvpn/core/OpenVPNService.java, line(s) 270,273
de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 52
de/blinkt/openvpn/core/OrbotHelper.java, line(s) 51

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/vpn/lib/App.java, line(s) 44
k/e.java, line(s) 25

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
de/blinkt/openvpn/api/ExternalAppDatabase.java, line(s) 14
de/blinkt/openvpn/api/ExternalOpenVPNService.java, line(s) 39

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/vpn/lib/injection/NetworkModule.java, line(s) 21,31
com/vpn/lib/pem/PemHeader.java, line(s) 109

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
de/blinkt/openvpn/api/AppRestrictions.java, line(s) 183
de/blinkt/openvpn/core/LogItem.java, line(s) 130

中危安全漏洞 Firebase远程配置已启用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/599466534420/namespaces/firebase:fetch?key=AIzaSyCDbYbEQD4j7VRudGV2Q8J1ZxCmYyTOMOs ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:

{
    "entries": {
        "reserve_urls": "{\"urls\":[\"https://fornormalget.click/api/\",\"https://getdatafrom.top/api/\",\"https://androidvpn.top/api/\",\"https://iosvpn.top/api/\"]}"
    },
    "state": "UPDATE",
    "templateVersion": "18"
}

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "@string/admob_app_id"
"firebase_database_url" : "https://cn-vpn-a9eb6.firebaseio.com"
"sitekey" : "Password"
"google_app_id" : "1:599466534420:android:e3746555b3d346c0"
"com.google.firebase.crashlytics.mapping_file_id" : "c9905f712499458fbed0b6c5af391f36"
"state_auth" : "verification"
"google_api_key" : "AIzaSyCDbYbEQD4j7VRudGV2Q8J1ZxCmYyTOMOs"
"admob_app_id" : "ca-app-pub-2765862849701377~2939954926"
"google_crash_reporting_api_key" : "AIzaSyCDbYbEQD4j7VRudGV2Q8J1ZxCmYyTOMOs"
"password" : "password"
"sitekey" : "Senha"
50a2f820189a2c3c2bf7148b04a60194
8D91E471E0989CDA27DF505A453F2B7635294F2DDF23E3B122ACC99C9E9F1E14
05e67ac7c4c84636da5eb4568f7466e8
B3312FA7E23EE7E4988E056BE3F82D19181D9C6EFE8141120314088F5013875AC656398D8A2ED19D2A85C8EDD3EC2AEF
5AC635D8AA3A93E7B3EBBD55769886BC651D06B0CC53B0F63BCE3C3E27D2604B
4FE342E2FE1A7F9B8EE7EB4A7C0F9E162BCE33576B315ECECBB6406837BF51F5
7FB663DEA07A8B0E0FE493EE902883B7
MhetK9BGR1krb6JGrhzxcwNdcy65+ZZlGNfyAvtKscA=
AA87CA22BE8B05378EB1C71EF320AD746E1D3B628BA79B9859F741E082542A385502F25DBF55296C3A545E3872760AB7
3617DE4A96262C6F5D9E98BF9292DC29F8F41DBD289A147CE9DA3113B5F0B8C00A60B1CE1D7E819D7A431D7C90EA0E5F
5b5c55a1277c63e14416316f9198ed43
a79ada0ab5ab3b894f420add507b1e8f
6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296
f1aab1fb633378621635c344dbc8ac7b
o0OryoyWmzHvD61u0KVFdG9XQjMjqEQbeFkQd1/Lrus=
FFFFFFFF00000000FFFFFFFFFFFFFFFFBCE6FAADA7179E84F3B9CAC2FC632551
94a7fe8226719d48c1ec5aa5a851976f

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/github/shadowsocks/Core$init$2.java, line(s) 12,14
com/vpn/lib/NearbyAPIHelper.java, line(s) 42,50,53,69,78,94,101,59
com/vpn/lib/b.java, line(s) 80,66,69
com/vpn/lib/data/repo/RepositoryImpl.java, line(s) 264,366
com/vpn/lib/feature/dashboard/DashboardFragment.java, line(s) 203
com/vpn/lib/feature/dashboard/DashboardPresenterImpl.java, line(s) 666
com/vpn/lib/feature/dashboard/i.java, line(s) 239
com/vpn/lib/feature/historylist/HistoryListFragment.java, line(s) 62
com/vpn/lib/feature/historylist/b.java, line(s) 46,47
com/vpn/lib/feature/naviagation/NavigationActivity.java, line(s) 350,411,412,706,1685,1944,1968
com/vpn/lib/feature/naviagation/k.java, line(s) 30,36
com/vpn/lib/feature/removead/RemoveAdFragment.java, line(s) 149
com/vpn/lib/feature/settings/c.java, line(s) 98,103,108
com/vpn/lib/feature/splash/SplashActivity.java, line(s) 331,337,457,764
com/vpn/lib/feature/splash/a.java, line(s) 153,169
com/vpn/lib/util/PingHelper.java, line(s) 155,119,128
dagger/android/AndroidInjection.java, line(s) 45,44
de/blinkt/openvpn/FileProvider.java, line(s) 107
de/blinkt/openvpn/core/OpenVPNService.java, line(s) 548
de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 212
de/blinkt/openvpn/core/StatusListener.java, line(s) 144,136,132,140,142
eightbitlab/com/blurview/BlurView.java, line(s) 45
me/drakeet/support/toast/SafeToastContext.java, line(s) 40,47,43
timber/log/Timber.java, line(s) 70,89

安全提示信息 应用与Firebase数据库通信 

该应用与位于 https://cn-vpn-a9eb6.firebaseio.com 的 Firebase 数据库进行通信

已通过安全项 基本配置配置为禁止到所有域的明文流量。 

Scope:
*

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/vpn/lib/data/repo/RepositoryImpl.java, line(s) 417,475,479,307
com/vpn/lib/feature/dashboard/DashboardPresenterImpl.java, line(s) 472,474,548,556,563,828,881,888,912
com/vpn/lib/injection/NetworkModule.java, line(s) 45,45

综合安全基线评分总结

应用图标

VPN China v1.121

Android APK
53
综合安全评分
中风险