安全分析报告: SPAIN TV+ v2.14.8

安全分数


安全分数 42/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 5
中危 18
信息 1
安全 1
关注 0

高危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
z5/c.java, line(s) 23,24,3

高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/mcdstore/spaintv/PelisActivity.java, line(s) 586

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
a4/a.java, line(s) 54

中危 应用程序存在Janus漏洞 

应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

中危 应用程序可以安装在有漏洞的已更新 Android 版本上 

Android 4.4-4.4.4, [minSdk=19]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Activity (com.mcdstore.spaintv.AdultsActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.mcdstore.spaintv.PelisActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.mcdstore.spaintv.PlayerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Service (com.google.android.tvonline.scheduler.PlatformScheduler$PlatformSchedulerService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
t4/a.java, line(s) 85

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
n2/r1.java, line(s) 6
p5/a.java, line(s) 3
u3/z0.java, line(s) 4
w4/t.java, line(s) 14
x3/b.java, line(s) 13
y6/a.java, line(s) 3
y6/b.java, line(s) 3
z5/i.java, line(s) 9
z6/b.java, line(s) 3

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
m5/p.java, line(s) 6,7,8,9,123
q2/c.java, line(s) 6,7,23
q2/d.java, line(s) 6,49
s3/a.java, line(s) 6,7,110
w4/f.java, line(s) 6,21
w4/m.java, line(s) 9,10,88

中危 IP地址泄露 

IP地址泄露


Files:
d4/c.java, line(s) 8

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
t5/l.java, line(s) 136

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
k0/b.java, line(s) 109

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_api_key" : "AIzaSyBMnrsqsqtHS8wgrrjTMzlbKxqoKQsZgDU"
"google_crash_reporting_api_key" : "AIzaSyBMnrsqsqtHS8wgrrjTMzlbKxqoKQsZgDU"
"firebase_database_url" : "https://eventos-py-dc80c-default-rtdb.firebaseio.com"
edef8ba9-79d6-4ace-a3c8-27dcd51d21ed
9a04f079-9840-4286-ab92-e65be0885f95
e2719d58-a985-b3c9-781a-b030af78d30e
16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a0/c.java, line(s) 397
c1/a.java, line(s) 40,45,49,32,60,69,74,78,82
d1/b.java, line(s) 53,62
d2/d.java, line(s) 144,177
e1/e.java, line(s) 15
e2/b.java, line(s) 90
e4/k.java, line(s) 41
e5/e.java, line(s) 261,199,203,215
g2/g.java, line(s) 405
i0/a.java, line(s) 125,130,137,141,157,167
i1/b.java, line(s) 34,98
i5/d0.java, line(s) 28,47,17,19
i5/e0.java, line(s) 26,28
i5/e1.java, line(s) 77,121
i5/k0.java, line(s) 23,25
i5/l0.java, line(s) 37,39
i5/x0.java, line(s) 32,48,60,69,79
i5/y.java, line(s) 76
j5/g.java, line(s) 30,35,40,49,83
j5/o.java, line(s) 118
j7/d.java, line(s) 427
k0/a.java, line(s) 173,210,261,60,67,69,75,196,203,214,245,33,63,71,78,91,106,162,176
k0/b.java, line(s) 50,61,63,90,92,110,129,165,207,229,284,292,295,299,86,94,103,217,233,248,255,290
k1/a.java, line(s) 57,61
m1/h.java, line(s) 48
m5/o.java, line(s) 73,74,75
n/d.java, line(s) 180
p0/b.java, line(s) 28
q0/p0.java, line(s) 28,69
s/a.java, line(s) 106,117
t5/l.java, line(s) 93
t7/e.java, line(s) 47,47,68
u0/a.java, line(s) 118
u0/d.java, line(s) 23,41,50,60
u5/a.java, line(s) 235
x/f.java, line(s) 135
x4/x.java, line(s) 32,27,37,22
x5/a.java, line(s) 18,23,28,33
z0/c0.java, line(s) 35
z0/g0.java, line(s) 16
z0/i.java, line(s) 112,160,165
z0/q.java, line(s) 31,78,44,121,128,137,140
z0/r.java, line(s) 39
z0/v.java, line(s) 24

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
s7/d.java, line(s) 103,102,101
s7/e.java, line(s) 122,112,133,120,120
s7/j.java, line(s) 105,104,103,103
s7/k.java, line(s) 222,210,220,220

安全评分: ( SPAIN TV+ 2.14.8)