安全分析报告:
安全分数
安全分数 51/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
1
中危
13
信息
1
安全
1
关注
0
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: a4/a.java, line(s) 70
中危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 5.0-5.0.2, [minSdk=21] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.mbm_soft.megastariptv.utils.BootUpReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.google.android.exoplayer2.scheduler.PlatformScheduler$PlatformSchedulerService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: w1/g.java, line(s) 73 z1/d.java, line(s) 34 z1/p.java, line(s) 87 z1/x.java, line(s) 74
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: m7/b.java, line(s) 138,131
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: c1/a.java, line(s) 5,6,7,8,94 s3/c.java, line(s) 6,7,103 t4/h.java, line(s) 6,21 t4/n.java, line(s) 7,8,85 y2/c.java, line(s) 6,7,23 y2/d.java, line(s) 7,44
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: y/c.java, line(s) 129
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: t4/n.java, line(s) 26 t4/t.java, line(s) 14
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: w0/c.java, line(s) 100
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "username" : "UserName" "password" : "Password" 2218c0b1091d3d2614e5b314b2e00117 9a04f079-9840-4286-ab92-e65be0885f95 edef8ba9-79d6-4ace-a3c8-27dcd51d21ed 4ced7422d1dd144279f89c791847eb33
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a2/i.java, line(s) 100,140 a2/j.java, line(s) 71,118,130,153,162,175,189,218,227 b2/e.java, line(s) 38,48,74,88 b2/i.java, line(s) 92 c2/a.java, line(s) 121 com/bumptech/glide/GeneratedAppGlideModuleImpl.java, line(s) 12 com/bumptech/glide/c.java, line(s) 161,203,212 d2/c.java, line(s) 14 d2/d.java, line(s) 36 d2/f.java, line(s) 96 d2/s.java, line(s) 91 d2/t.java, line(s) 34 f2/a.java, line(s) 72 g2/c.java, line(s) 53,68 g2/c0.java, line(s) 174 g2/d.java, line(s) 13 g2/k.java, line(s) 167,176,263,275,285,303,323,325,340,350,356,363,380,383 g2/m.java, line(s) 95,115,199,286,325,346,370 g2/n.java, line(s) 42,50 g2/r.java, line(s) 53 g2/z.java, line(s) 108,111,121,128,133 i0/f0.java, line(s) 788 k2/a.java, line(s) 78,85,92,103 k2/d.java, line(s) 20 k2/j.java, line(s) 35 m2/e.java, line(s) 29,54,85 m2/f.java, line(s) 10 m2/k.java, line(s) 146 m2/l.java, line(s) 190 m2/n.java, line(s) 86 m2/o.java, line(s) 168,174 n2/c.java, line(s) 41,46,49,57,64 p/d.java, line(s) 180 p2/h.java, line(s) 13 q2/i.java, line(s) 43,86 u1/d.java, line(s) 70,103 u1/e.java, line(s) 517,541,560 u2/a.java, line(s) 58 u7/a.java, line(s) 29 v1/a.java, line(s) 78 x1/b.java, line(s) 44 x1/j.java, line(s) 50,148,150,155,161 x1/l.java, line(s) 45 y1/c.java, line(s) 97 y1/e.java, line(s) 48,99 z1/h.java, line(s) 253,267,565 z1/i.java, line(s) 45 z1/k.java, line(s) 12 z1/z.java, line(s) 52
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。