安全分析报告:
安全分数
安全分数 35/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
4
中危
10
信息
1
安全
0
关注
10
高危 Activity (io.dcloud.PandoraEntryActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (io.dcloud.WebAppActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.PayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.alipay.sdk.app.AlipayResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity (youhe.com.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (youhe.com.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 27,28,30,62,122 com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25 com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 38
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 DCLOUD的 "APPID" : "__UNI__474D03F" DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "youhe.com|__UNI__474D03F|127948020811|" 高德地图的=> "com.amap.api.v2.apikey" : "5ff99b2ac558016ae4b53e34f3692945" DCLOUD的 "AD_ID" : "127948020811" 微信分享的=> "WX_APPID" : "wxa0ca2d5195c68c66" DCLOUD的 "ApplicationId" : "youhe.com" "dcloud_permissions_reauthorization" : "reauthorize"
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69 androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 95,103,186,216 androidtranscoder/engine/QueuedMuxer.java, line(s) 96,98,106 androidtranscoder/engine/TextureRender.java, line(s) 50,62,63,78,82,100 androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 20 com/bun/miitmdid/core/MdidSdkHelper.java, line(s) 59,65 com/bun/miitmdid/core/Utils.java, line(s) 72,75,35,41,46 com/dmcbig/mediapicker/PreviewActivity.java, line(s) 260 master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56 tv/cjump/jni/DeviceUtils.java, line(s) 64 tv/cjump/jni/NativeBitmapFactory.java, line(s) 71,126
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.android.com) 通信。
{'ip': '142.250.66.142', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cgicol.amap.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mpsapi.amap.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mst01.is.autonavi.com) 通信。
{'ip': '106.11.226.79', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (m3w.cn) 通信。
{'ip': '58.222.30.67', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (er.dcloud.net.cn) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wb.amap.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '-Balkarskaya Respublika\x08Kabarole\x0bKaberamaido\x05Kabul\x06Kachin\x07Kadiogo\x06Kaduna\x04Kaeb\x08Kaffrine\x0fKafr ash Shaykh\x06Kagawa\x06K', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lbs.amap.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'ansaviertel\x16Hanscom Air Force Base\x05Hanse\tHanselaer\x05Hansi\x05Hansk\x06Hanska\x07Ha', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}