移动应用安全检测报告: Sync Services v4.27.3

安全基线评分


安全基线评分 48/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

1

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 2
中危安全漏洞 23
安全提示信息 2
已通过安全项 1
重点安全关注 0

高危安全漏洞 使用弱加密算法 

使用弱加密算法
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/fp/logger/b.java, line(s) 21,24

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/fp/l/a.java, line(s) 41,136

中危安全漏洞 Service (com.fp.CoreService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危安全漏洞 Service (com.fp.spy_call.service.SpyService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (com.fp.WDService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危安全漏洞 Service (com.fp.capture.appscreenshot.ProjectionService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.fp.receiver.CommonReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危安全漏洞 Broadcast Receiver (com.fp.callhandler.phonestate.OutgoingCallReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危安全漏洞 Service (com.fp.accessibilityservice.NMAccessibilityService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (com.fp.receiver.AppDeviceAdminReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (com.fp.google_push_notification_manager.MyFirebaseInstanceIDService) 未被保护。 

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

中危安全漏洞 Broadcast Receiver (com.fp.google_push_notification_manager.FirebaseDataReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (com.fp.capture.callrecorder.accessibility_use.VoIPCallRecordingStateNotifier) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.INSTALL_PACKAGES [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (com.google.firebase.iid.FirebaseInstanceIdService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 高优先级的Intent (2147483647) - {2} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
a_vcard/android/provider/Contacts.java, line(s) 73

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/fp/addressbookmanager/c/b.java, line(s) 4,5,14,15,16,17,18,23,24,25
com/fp/datadeliverymanager/b/a/c.java, line(s) 4,5,14,19
com/fp/eventrepository/a/a.java, line(s) 4,5,175,208,248,318
com/fp/eventrepository/a/ac.java, line(s) 5,6,124
com/fp/eventrepository/a/af.java, line(s) 5,6,147
com/fp/eventrepository/a/ag.java, line(s) 5,6,149
com/fp/eventrepository/a/an.java, line(s) 5,6,129
com/fp/eventrepository/a/e.java, line(s) 5,6,108
com/fp/eventrepository/a/f.java, line(s) 5,6,151
com/fp/eventrepository/a/g.java, line(s) 5,6,170
com/fp/eventrepository/a/h.java, line(s) 5,6,99
com/fp/eventrepository/a/k.java, line(s) 5,6,170
com/fp/eventrepository/a/p.java, line(s) 4,5,23,45,50,55,60,65,70
com/fp/eventrepository/a/y.java, line(s) 5,6,76
com/fp/eventrepository/b/b.java, line(s) 5,6,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,115,120,125,126,131,132,136,137,141,146,147,152,153,158,163,164,165,166,167,170,171
com/fp/phoenix/prot/b/b.java, line(s) 5,159,160,161
com/fp/phoenix/prot/c.java, line(s) 3,4,548,549,550

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/fp/ao/b/d.java, line(s) 72
com/fp/ap/a/a.java, line(s) 25
com/fp/appengine/a/ag.java, line(s) 70
com/fp/io/e.java, line(s) 73,102,114

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/codebutler/android_websockets/a.java, line(s) 68

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/fp/u/a.java, line(s) 22,83

中危安全漏洞 此应用程序可能会请求root(超级用户)权限 

此应用程序可能会请求root(超级用户)权限
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/fp/ab/b.java, line(s) 36,37,38,28,29,30,31,32,33,34,35,49,50,51,31,32,33,34,35

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_app_id" : "1:265849762169:android:e665c229f48954b9"
"firebase_database_url" : "https://fppush-7a95f.firebaseio.com"
"google_crash_reporting_api_key" : "AIzaSyA62LG44BEN-ZZQ3a1zNTo0wRzvpvviJ9Q"
"google_api_key" : "AIzaSyA62LG44BEN-ZZQ3a1zNTo0wRzvpvviJ9Q"
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
aHR0cHM6Ly93d3cuZmxleGlzcHkuY29tL2VuL2luc3RhbGxhdGlvbi1ldWxhLmh0bQ==
Hy4wDUI8WyIaIwYeN0Q3N31dJyceS3tMEDd8WSprI1AoMgpbPRoyO1gp
PQYUOBkGHxg2AXM7ChIbB1IIDAg7CV8cMQYdAgsy
CwIvaRU8GDsTNX0YMD0gCmdVGQ4LA1MPEUNfETEOSVU=
HQoXKhAlAwsfBlo4CgETH1YKDRYwEF4BcRFcDA==

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a_vcard/android/syncml/pim/VDataBuilder.java, line(s) 58,116,124,128
a_vcard/android/syncml/pim/vcard/VCardParser_V21.java, line(s) 616,618,620,621,622,623,624,625,626,627,309,320,334,363
a_vcard/android/syncml/pim/vcard/VCardParser_V30.java, line(s) 135
com/fp/a/c.java, line(s) 27,101,107
com/fp/a/d.java, line(s) 28
com/fp/ak/c.java, line(s) 235,337
com/fp/logger/b.java, line(s) 28
com/fp/logger/d.java, line(s) 156,158,160,184,154,162
com/fp/p/c.java, line(s) 384,486
com/fp/q/c.java, line(s) 252,354
com/fp/s/c.java, line(s) 77,179

安全提示信息 应用与Firebase数据库通信 

该应用与位于 https://fppush-7a95f.firebaseio.com 的 Firebase 数据库进行通信

已通过安全项 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/265849762169/namespaces/firebase:fetch?key=AIzaSyA62LG44BEN-ZZQ3a1zNTo0wRzvpvviJ9Q ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

综合安全基线评分: ( Sync Services 4.27.3)