安全分析报告:
安全分数
安全分数 39/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
4
中危
7
信息
1
安全
1
关注
1
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/onevcat/uniwebview/a0.java, line(s) 89,84,85,86,87,88,89,90,91,92,93,94,95,97,198,256,286
高危 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/unity/purchasing/BuildConfig.java, line(s) 3,5
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/onevcat/uniwebview/l0.java, line(s) 183,156
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/wh/authsdk/a0.java, line(s) 14,80,120,148 com/wh/authsdk/h.java, line(s) 99 wowvx/slz/c/a.java, line(s) 37
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/onevcat/uniwebview/t0.java, line(s) 196,186 com/onevcat/uniwebview/v0.java, line(s) 41 com/onevcat/uniwebview/w0.java, line(s) 119 com/wh/authsdk/y.java, line(s) 124 wowvx/slz/d/e.java, line(s) 17 wowvx/slz/p/FileProvider.java, line(s) 181
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/onevcat/uniwebview/t0.java, line(s) 198
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/one/oaid/imp/OppoDeviceIDHelper.java, line(s) 107
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "PASSWORD" : "Wachtwoord" "USERNAME" : "Nutzername" "PASSWORD" : "Senha" "PASSWORD" : "Password" "USERNAME" : "Gebruikersnaam" "PASSWORD" : "Passwort" "USERNAME" : "Username" "USERNAME" : "Brugernavn" "PASSWORD" : "Adgangskode" 1113a4d40917420d81bb6f20b6a0932f 25fe9a8589d9ff7e1c2450d24c847de0 d9c03ff42cf771efc2d42838c599e550 1cc1de2e96ea47c880000224d8aa5579 c68a23a3b02a90c5a62be3a93824c26442662b92dbf634dfea1fdf321c45ea008bd068e45becef8bd733c06fed9cc92be9c0c0cd0cf28c6e6c8d96c51257c6db amF2YS5uZXQuSHR0cFVSTENvbm5lY3Rpb24= 9903CE71591C3B3D9C167709C0EA010A2C893855CFCA47BFC31F3C5599A18E3EAE9562CC32C46F49A357D254C8F5FB79
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bitter/jnibridge/JNIBridge.java, line(s) 38 com/one/oaid/MyOAID.java, line(s) 28,36,77,30 com/one/oaid/OneOAIDHelper.java, line(s) 25 com/one/oaid/imp/CooseaHelper.java, line(s) 54 com/one/oaid/imp/HWDeviceIDHelper.java, line(s) 27,91,121 com/one/oaid/imp/MSAOAIDHelper.java, line(s) 56 com/one/oaid/imp/MeizuDeviceIDHelper.java, line(s) 83 com/one/oaid/imp/XiaomiDeviceIDHelper.java, line(s) 38 com/onevcat/uniwebview/n.java, line(s) 49,62,42,65,46,58 com/wh/authsdk/a0.java, line(s) 108,109,110,111 com/wh/authsdk/t.java, line(s) 83,84 com/wh/authsdk/y.java, line(s) 41 org/fmod/FMODAudioDevice.java, line(s) 68 org/fmod/a.java, line(s) 76 wowvx/slz/d/a.java, line(s) 33
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (auth-api.heibaige.com) 通信。
{'ip': '116.62.35.179', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}