安全分析报告: Lite VPN v4.8.5

安全分数


安全分数 49/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 3
中危 16
信息 2
安全 2
关注 1

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
info/guardianproject/netcipher/client/TlsOnlySocketFactory.java, line(s) 18,19,20,21,3

高危 该文件是World Readable。任何应用程序都可以读取文件

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
com/pixplicity/easyprefs/library/Prefs.java, line(s) 220

中危 应用程序数据可以被备份

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.free.vpn.ozzmo.view.screen.ControllerActivity) 未被保护。

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性

(de.blinkt.openvpn.DisconnectVPNActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。

Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 IP地址泄露

IP地址泄露


Files:
de/blinkt/openvpn/OpenVpnApi.java, line(s) 34,33
de/blinkt/openvpn/VpnProfile.java, line(s) 61,60
de/blinkt/openvpn/core/ConfigParser.java, line(s) 290
de/blinkt/openvpn/core/OpenVPNService.java, line(s) 777,1009,1012,1053
de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 63
de/blinkt/openvpn/core/OrbotHelper.java, line(s) 43
de/blinkt/openvpn/core/X509Utils.java, line(s) 109,110
info/guardianproject/netcipher/NetCipher.java, line(s) 22
info/guardianproject/netcipher/client/StrongBuilderBase.java, line(s) 18
info/guardianproject/netcipher/proxy/PsiphonHelper.java, line(s) 53,60

中危 应用程序使用不安全的随机数生成器

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/free/vpn/ozzmo/utils/Helper.java, line(s) 20
com/free/vpn/ozzmo/utils/TunnelGatewaySSL.java, line(s) 23
com/free/vpn/ozzmo/utils/TunnelSSL.java, line(s) 23
de/blinkt/openvpn/core/TunnelSSL.java, line(s) 16
ir/tapsell/sdk/utils/a.java, line(s) 9
ir/tapsell/sdk/utils/g.java, line(s) 10

中危 SHA-1是已知存在哈希冲突的弱哈希

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
de/blinkt/openvpn/api/AppRestrictions.java, line(s) 63
de/blinkt/openvpn/core/LogItem.java, line(s) 307
de/blinkt/openvpn/core/PRNGFixes.java, line(s) 69,71

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/free/vpn/ozzmo/utils/AppSettings.java, line(s) 9,16
com/free/vpn/ozzmo/utils/Helper.java, line(s) 234,168,174,240,172,238
de/blinkt/openvpn/LaunchVPN.java, line(s) 36
de/blinkt/openvpn/api/ExternalAppDatabase.java, line(s) 13
de/blinkt/openvpn/utils/PropertiesService.java, line(s) 8,9
ir/tapsell/plus/m/b.java, line(s) 96
ir/tapsell/sdk/models/responseModels/SdkConfigurationResponseModel.java, line(s) 120

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
ir/tapsell/sdk/advertiser/a.java, line(s) 156,150
ir/tapsell/sdk/bannerads/a.java, line(s) 216,215

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/free/vpn/ozzmo/db/DbHelper.java, line(s) 6,7,36

中危 MD5是已知存在哈希冲突的弱哈希

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/free/vpn/ozzmo/utils/Helper.java, line(s) 285

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/free/vpn/ozzmo/utils/OvpnUtils.java, line(s) 60

中危 应用程序包含隐私跟踪程序

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "@string/admob_app_id"
AppLovin广告SDK的=> "applovin.sdk.key" : "5WfZLCGTQmDr6Mf7BBEf5blVwrf8VBMJSmwUSq9-1q5bPpCH_OGAWEP2z2lRkmonLgPzG6gbL4DlvUF9frFmt6"
"password" : "Password"
"settings_auth" : "Authentication/Encryption"
"auth_pwquery" : "Password"
"library_easypreferences_author" : "Pixplicity"
"state_auth" : "Authenticating"
"google_api_key" : "AIzaSyDnl4KwuR4yKfjxl4b-Qqaxb3qy2o2Ful4"
"google_crash_reporting_api_key" : "AIzaSyDnl4KwuR4yKfjxl4b-Qqaxb3qy2o2Ful4"
"auth_username" : "Username"
"library_easypreferences_authorWebsite" : "http://pixplicity.com"
645d40b522a1ba63a8a6322e
6ef396a2bb3d466cbc02e9f2f358ff15
2e885e2cfb054b4eacf9d87641a1f56b
3873738336106154B4C601CAF78A6F0F
a9f6722d-96ce-4cd6-85e5-93767c74df07

信息 应用程序记录日志信息,不得记录敏感信息

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/free/vpn/ozzmo/utils/Helper.java, line(s) 141
com/free/vpn/ozzmo/utils/TunnelGatewaySSL.java, line(s) 550,554
com/free/vpn/ozzmo/utils/TunnelSSL.java, line(s) 634,638
com/free/vpn/ozzmo/view/fragments/HomeFragment.java, line(s) 1415
com/free/vpn/ozzmo/view/screen/SplashScreen.java, line(s) 502
com/smalihelper/ModDialog.java, line(s) 56
de/blinkt/openvpn/FileProvider.java, line(s) 103
de/blinkt/openvpn/OpenVpnApi.java, line(s) 25
de/blinkt/openvpn/api/ConfirmDialog.java, line(s) 93
de/blinkt/openvpn/core/OpenVPNService.java, line(s) 534,149,243,303
de/blinkt/openvpn/core/OpenVPNThread.java, line(s) 80,67,69,154,190,201,238,250
de/blinkt/openvpn/core/OpenVpnManagementThread.java, line(s) 229,408,731,378,393
de/blinkt/openvpn/core/PRNGFixes.java, line(s) 104
de/blinkt/openvpn/core/StatusListener.java, line(s) 117,121,113,123,125
de/blinkt/openvpn/core/TunnelSSL.java, line(s) 347,351
info/guardianproject/netcipher/NetCipher.java, line(s) 39
info/guardianproject/netcipher/client/TlsOnlySocketFactory.java, line(s) 150
info/guardianproject/netcipher/proxy/OrbotHelper.java, line(s) 203,242
info/guardianproject/netcipher/proxy/ProxySelector.java, line(s) 21
info/guardianproject/netcipher/proxy/SignatureUtils.java, line(s) 51,53,78,80,105,107
info/guardianproject/netcipher/proxy/TorServiceUtils.java, line(s) 37,26,28,40,59,77
info/guardianproject/netcipher/webkit/WebkitProxy.java, line(s) 90,123,284,287,290,293,296,95,100,104,110,121,129,133,137,165,167,313,315,342,345,210,211,217,218,224,225,231,232,238,239,245,246,252,253
ir/tapsell/plus/TapsellPlusManager.java, line(s) 296,297
ir/tapsell/plus/e.java, line(s) 34,45,38,30,40
ir/tapsell/plus/l/b/a.java, line(s) 42,49,124
ir/tapsell/plus/l/b/b.java, line(s) 44,47,50,53,56
ir/tapsell/plus/o/b.java, line(s) 217,222
ir/tapsell/plus/o/c.java, line(s) 120
ir/tapsell/sdk/advertiser/TapsellAdActivity.java, line(s) 416
ir/tapsell/sdk/advertiser/a.java, line(s) 80,87,93,99,105
ir/tapsell/sdk/advertiser/d.java, line(s) 200
ir/tapsell/sdk/f/k/a.java, line(s) 30
ir/tapsell/sdk/g/b.java, line(s) 20,31,24,16,26
ir/tapsell/sdk/i/c.java, line(s) 245
ir/tapsell/sdk/i/e.java, line(s) 201
ir/tapsell/sdk/k/c.java, line(s) 119
ir/tapsell/sdk/preroll/a.java, line(s) 71,62,83,102,116,125,148,185
ir/tapsell/sdk/preroll/ima/a.java, line(s) 171,196,219,415,427,470,485,521,531,622,640,726,783,903,982,1011,1031,1067,574,511,430,563,615,646,732,894,1035
np/manager/KillSignerApplication628.java, line(s) 71,69

信息 应用程序可以写入应用程序目录。敏感信息应加密

应用程序可以写入应用程序目录。敏感信息应加密


Files:
com/free/vpn/ozzmo/utils/SharedPreference.java, line(s) 22,22
com/free/vpn/ozzmo/view/screen/SplashScreen.java, line(s) 125,125
com/pixplicity/easyprefs/library/Prefs.java, line(s) 220

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
info/guardianproject/netcipher/NetCipher.java, line(s) 64,88
ir/tapsell/sdk/h/c.java, line(s) 97,49,83,95,95

安全 此应用程序可能具有Root检测功能

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
info/guardianproject/netcipher/proxy/TorServiceUtils.java, line(s) 30,33
ir/tapsell/plus/o/b.java, line(s) 179,182,182,182,182,182,182
ir/tapsell/sdk/k/b.java, line(s) 178,181,181,181,181,181,181

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.linkedin.com) 通信。

{'ip': '52.130.75.155', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Lite VPN 4.8.5)