页面标题
页面副标题
移动应用安全检测报告
chrome settings v2.0
49
安全评分
安全基线评分
49/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
30
中危
2
信息
1
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
30
安全提示信息
2
已通过安全项
1
重点安全关注
0
高危安全漏洞 应用可被调试
[android:debuggable=true] 应用开启了可调试标志,攻击者可轻易附加调试器进行逆向分析,导出堆栈信息或访问调试相关类,极大提升被攻击风险。
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/tracking_smartphone/BuildConfig.java, line(s) 3,6
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.CellTrackerController) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.SMSBroadcastReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.OutgoingCallReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.CallInfo) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.tracking_smartphone.Splash) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.tracking_smartphone.MapViewDemo) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.tracking_smartphone.Splash_for_location) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.tracking_smartphone.SMS_Commands_Activity) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.DeviceAdminPreferenceActivity$DeviceAdminSampleReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_DEVICE_ADMIN [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.tracking_smartphone.LaunchAppViaDialReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Service (com.tracking_smartphone.NotificationListeners.MyNotificationListener) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.tracking_smartphone.firebase.MyFirebaseMessagingService) 未受保护。
存在 intent-filter。 检测到 Service 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Service 被显式导出,存在安全风险。
中危安全漏洞 Service (com.tracking_smartphone.firebase.MyFirebaseInstanceIDService) 未受保护。
存在 intent-filter。 检测到 Service 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Service 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryChargingProxy) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryNotLowProxy) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$StorageNotLowProxy) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$NetworkStateProxy) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.background.systemalarm.RescheduleReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 高优先级 Intent(2147483647) - {3} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/tracking_smartphone/DeviceAdminSamReceiver.java, line(s) 123 com/tracking_smartphone/RecorderAudioService.java, line(s) 86 com/tracking_smartphone/RecorderCallService.java, line(s) 140,142 com/tracking_smartphone/RecorderVideoService.java, line(s) 141 com/tracking_smartphone/TakePictureActivity.java, line(s) 110 com/tracking_smartphone/TakePictureService.java, line(s) 116 com/tracking_smartphone/utils.java, line(s) 266,305,321,348,351
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/amazonaws/auth/policy/conditions/ConditionFactory.java, line(s) 8,9,10,11,12,13,14 com/amazonaws/auth/policy/conditions/S3ConditionFactory.java, line(s) 10,11,12,14,15,8,9,13 com/amazonaws/auth/policy/conditions/SNSConditionFactory.java, line(s) 7,8 com/amazonaws/services/s3/AmazonS3Client.java, line(s) 1730 com/amazonaws/services/s3/Headers.java, line(s) 18 com/tracking_smartphone/DeviceAdminPreferenceActivity.java, line(s) 692,691,50,51 com/tracking_smartphone/DeviceAdminSamReceiver.java, line(s) 26,25
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/amazonaws/services/s3/AmazonS3Client.java, line(s) 588 com/amazonaws/services/s3/internal/MD5DigestCalculatingInputStream.java, line(s) 14,24 com/amazonaws/util/Md5Utils.java, line(s) 14
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/amazonaws/services/ec2/util/S3UploadPolicy.java, line(s) 41 com/amazonaws/services/sns/util/SignatureChecker.java, line(s) 64
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/amazonaws/http/AmazonHttpClient.java, line(s) 33
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 谷歌地图的=> "com.google.android.maps.v2.API_KEY" : "AIzaSyDjMMagwV-GvIpJ8igsAB8PU49h6c59KjU" "firebase_database_url" : "https://tracking-smartphone.firebaseio.com" "google_api_key" : "AIzaSyA54rhsUXU8Q-AdPs9PWPLHsdKmvs0pRYw" "google_app_id" : "1:533798447619:android:5a5d185b64108788" "google_crash_reporting_api_key" : "AIzaSyA54rhsUXU8Q-AdPs9PWPLHsdKmvs0pRYw"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/amazonaws/http/AmazonHttpClient.java, line(s) 204,226,203 com/amazonaws/services/sns/util/Topics.java, line(s) 26 com/amazonaws/util/Md5Utils.java, line(s) 28 com/tracking_smartphone/CallInfo.java, line(s) 100,84,96 com/tracking_smartphone/CellTrackerController.java, line(s) 39 com/tracking_smartphone/CellTrackerService.java, line(s) 85,134,141 com/tracking_smartphone/DataSettings.java, line(s) 569,929,1028,1155,1220,1237,1247,1254,1262,1270,1278,1285,1293 com/tracking_smartphone/FusedLocationInfo.java, line(s) 45,49 com/tracking_smartphone/GatherData.java, line(s) 17,18,74 com/tracking_smartphone/LaunchAppViaDialReceiver.java, line(s) 23 com/tracking_smartphone/OutgoingCallReceiver.java, line(s) 27,31,38 com/tracking_smartphone/RecoderActivity.java, line(s) 89,94,69,61 com/tracking_smartphone/RecorderAudioService.java, line(s) 57,140,165 com/tracking_smartphone/RecorderCallService.java, line(s) 79,101,187,232,144,237,265 com/tracking_smartphone/RecorderVideoService.java, line(s) 116,120,124,127,134,139,142,150,99,104,158,193 com/tracking_smartphone/RemoteCellTrackerActivity.java, line(s) 303,152,237,248,406 com/tracking_smartphone/SMSListener.java, line(s) 24 com/tracking_smartphone/SMSManager.java, line(s) 226,227 com/tracking_smartphone/Upload.java, line(s) 97,154,159,186,211,265,296,306,316,331,341,351,372,377,403,427,466,486,510,641,653,672,88,141,174,199,252,359,391,424,454,484,504,568,570,633 com/tracking_smartphone/firebase/MyFirebaseInstanceIDService.java, line(s) 14,15 com/tracking_smartphone/firebase/MyJobService.java, line(s) 56,516 com/tracking_smartphone/utils.java, line(s) 46,91,190,204
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://tracking-smartphone.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/533798447619/namespaces/firebase:fetch?key=AIzaSyA54rhsUXU8Q-AdPs9PWPLHsdKmvs0pRYw ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
chrome settings v2.0
Android APK
49
综合安全评分
中风险