移动应用安全检测报告: SBI card v4.12025.4.214244

安全基线评分


安全基线评分 49/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 3
中危安全漏洞 13
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 Activity (com.BNu.ZHrCeU.MainActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 Activity (com.BNu.ZHrCeU.MainAliasActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/example/fcmexpr/xKU0uzGoZgLQ59Xq.java, line(s) 18

中危安全漏洞 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危安全漏洞 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危安全漏洞 Activity-Alias (com.BNu.ZHrCeU.MainAliasActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.BNu.ZHrCeU.InstallReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.KeepAliveJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Service (com.example.fcmexpr.keepalive.FirebaseMessagingKeepAliveService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.example.fcmexpr.keepalive.KeepAliveReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
Tn3z7UrLNNM7SnBn/tpumdwKZI9DRVRQe.java, line(s) 31
com/example/fcmexpr/xKU0uzGoZgLQ59Xq.java, line(s) 19
jxEbDXOymgqoXmO9/c7zu5uPZyfoTswm4.java, line(s) 70

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
ab3lYhj3tyoFEVib/O09o2GjVMFHrRmea.java, line(s) 4,5,111
ab3lYhj3tyoFEVib/ZPKOai0pxv540UtK.java, line(s) 6,7,95,141,176,400,413,572,596,728

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
Tn3z7UrLNNM7SnBn/GLwfYVFgj1bN1V79.java, line(s) 80

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"google_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
"google_app_id" : "1:469967176169:android:d67d8d7454d4439dbc8b78"
"google_crash_reporting_api_key" : "AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w"
44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
Awo0Hn1esTrh1GJp/ooW3nd9616z2Qccl.java, line(s) 65,84,93
Bp2s7MVdGZfDqCfG/xKU0uzGoZgLQ59Xq.java, line(s) 129,69,199
CKykSWI9hgptAeBy/nWtX77gsD9hWGRYA.java, line(s) 82
D5gm8PofxeOsPyQL/WEOkPaOrBt65cYK1.java, line(s) 111
EBrG6ngkJmu29tRT/VXzgprH88XExHThC.java, line(s) 179,216
FGhwqucS1sXpMt88/GLwfYVFgj1bN1V79.java, line(s) 95,108,129,191,211,226,94,107,128,190,210,225,125,145,157,233,254,300
FGhwqucS1sXpMt88/RJ3AB3lEM1nDbc8n.java, line(s) 16,13,13
FGhwqucS1sXpMt88/VTpvO4cxwpLK6Cnp.java, line(s) 60,59
FGhwqucS1sXpMt88/c7zu5uPZyfoTswm4.java, line(s) 31,52,66
FGhwqucS1sXpMt88/h80NbixUjiij0sTB.java, line(s) 35,102,253,34,101,137,169,208,237,252,266,138,170,209,238,267,42,198
FGhwqucS1sXpMt88/qPN0iSEaXGUdf19T.java, line(s) 23
FGhwqucS1sXpMt88/tpumdwKZI9DRVRQe.java, line(s) 118,131,91,94
FGhwqucS1sXpMt88/vwbh3MkKsvmNY5I9.java, line(s) 24,31,23,30
H37ys8va30bNpzPr/mEWGFrUHsDzt2hw4.java, line(s) 322
Ol81k1ciz0P38MCc/GLwfYVFgj1bN1V79.java, line(s) 265,283,414,420,424,430
Ol81k1ciz0P38MCc/O09o2GjVMFHrRmea.java, line(s) 36
Ol81k1ciz0P38MCc/Q0EYxOTOvgPnayUB.java, line(s) 45
Ol81k1ciz0P38MCc/VZbQ8UobLkjgw8t1.java, line(s) 24
Ol81k1ciz0P38MCc/WnNzkrFzrY9OaGoc.java, line(s) 101
Ol81k1ciz0P38MCc/bU2Jn6XqHXQ0P91w.java, line(s) 54
Ol81k1ciz0P38MCc/ghpbz1DUneuCR0VZ.java, line(s) 29
Ol81k1ciz0P38MCc/lujjsKQc6WvHrEhG.java, line(s) 25
Ol81k1ciz0P38MCc/nM9vFlWD1RrkiOmf.java, line(s) 73,78
Ol81k1ciz0P38MCc/qPN0iSEaXGUdf19T.java, line(s) 121,124,153,156,159,40,45
Ol81k1ciz0P38MCc/xKU0uzGoZgLQ59Xq.java, line(s) 18
PhytTUhAFPW77y8N/mEWGFrUHsDzt2hw4.java, line(s) 37,53,60,63,86
PhytTUhAFPW77y8N/qSAiY5LsF1e3hSo5.java, line(s) 154
Q2EGYleqZB99vdnw/tpumdwKZI9DRVRQe.java, line(s) 87,98
QpA4JdqPySaCYAqi/GLwfYVFgj1bN1V79.java, line(s) 118,144,151,158,205,215
R4n3JsxRIrmvlB6S/ZPKOai0pxv540UtK.java, line(s) 25
Tn3z7UrLNNM7SnBn/tpumdwKZI9DRVRQe.java, line(s) 35,131
VTpvO4cxwpLK6Cnp/nWtX77gsD9hWGRYA.java, line(s) 59,90
WELrJXUt96xZT2Ke/AyMSX39UMAJ1gGRT.java, line(s) 39
WELrJXUt96xZT2Ke/RJ3AB3lEM1nDbc8n.java, line(s) 26
WELrJXUt96xZT2Ke/h80NbixUjiij0sTB.java, line(s) 23
WELrJXUt96xZT2Ke/mEWGFrUHsDzt2hw4.java, line(s) 103,110,198
WELrJXUt96xZT2Ke/ooW3nd9616z2Qccl.java, line(s) 27
WELrJXUt96xZT2Ke/rzPqbSnf2ll7tDtA.java, line(s) 33,76,82,91,94
WEOkPaOrBt65cYK1/GLwfYVFgj1bN1V79.java, line(s) 142,210,234
XvPxwGAM1B78yOWK/Fu9tNbQPl3nHwnvi.java, line(s) 105
XvPxwGAM1B78yOWK/KRYEz2DG842ArxaB.java, line(s) 68
XvPxwGAM1B78yOWK/O09o2GjVMFHrRmea.java, line(s) 131
XvPxwGAM1B78yOWK/OK5dhfHSlDlFbfYE.java, line(s) 187,71,96,112,124,260
XvPxwGAM1B78yOWK/c7zu5uPZyfoTswm4.java, line(s) 165,210
XvPxwGAM1B78yOWK/ivIDtNxc79gNv3oL.java, line(s) 85
XvPxwGAM1B78yOWK/l8vdx5BADqHZ1gaS.java, line(s) 458,200,205,212,282,306
XvPxwGAM1B78yOWK/vWAOzi9xEfbfIBqa.java, line(s) 95,116,125,253
YdAQ10uym5YMicYV/VZbQ8UobLkjgw8t1.java, line(s) 55
YdAQ10uym5YMicYV/ZPKOai0pxv540UtK.java, line(s) 49
YdAQ10uym5YMicYV/h80NbixUjiij0sTB.java, line(s) 212,429
YdAQ10uym5YMicYV/nWtX77gsD9hWGRYA.java, line(s) 261,370
YdAQ10uym5YMicYV/vwbh3MkKsvmNY5I9.java, line(s) 49
ZPKOai0pxv540UtK/XvPxwGAM1B78yOWK.java, line(s) 34,33
a3pSXBVSUWbQN2dY/GLwfYVFgj1bN1V79.java, line(s) 34
aXxJm1P4PfTsDu0V/xKU0uzGoZgLQ59Xq.java, line(s) 104,108
bp0beBjxkETJlRBS/tpumdwKZI9DRVRQe.java, line(s) 53
com/BNu/ZHrCeU/GLwfYVFgj1bN1V79.java, line(s) 64
com/BNu/ZHrCeU/MainActivity.java, line(s) 100,102,169,172
com/example/fcmexpr/keepalive/KeepAliveServiceMediaPlayback.java, line(s) 118
com/example/fcmexpr/keepalive/vWAOzi9xEfbfIBqa.java, line(s) 37,45
com/example/fcmexpr/keepalive/xHnow6tmItMkoP4l.java, line(s) 210,591,605,830,1022,201,391,879
com/example/fcmexpr/miner/mEWGFrUHsDzt2hw4.java, line(s) 103,98
com/example/fcmexpr/miner/xKU0uzGoZgLQ59Xq.java, line(s) 118,157,444,83,159,447
ghpbz1DUneuCR0VZ/GLwfYVFgj1bN1V79.java, line(s) 349
h80NbixUjiij0sTB/GLwfYVFgj1bN1V79.java, line(s) 33
h80NbixUjiij0sTB/VXzgprH88XExHThC.java, line(s) 38
h80NbixUjiij0sTB/XvPxwGAM1B78yOWK.java, line(s) 142
iSttKgX7aYunzz7M/tpumdwKZI9DRVRQe.java, line(s) 22
jxEbDXOymgqoXmO9/FXpDBIAYa7lDk2TL.java, line(s) 61,77,89,99,120,157,201,205,218,245,268
jxEbDXOymgqoXmO9/JWqIVKo500nsMnXh.java, line(s) 48,85,98,108,117,73,76,122,125,128,47,84,97,107
jxEbDXOymgqoXmO9/JdHU2v5vgcIenwfg.java, line(s) 78,77
jxEbDXOymgqoXmO9/KRYEz2DG842ArxaB.java, line(s) 35
jxEbDXOymgqoXmO9/M0Xq9a243YeTg7th.java, line(s) 53,52
jxEbDXOymgqoXmO9/R4n3JsxRIrmvlB6S.java, line(s) 78,78
jxEbDXOymgqoXmO9/RwMBFwZTRJaj1UQw.java, line(s) 25
jxEbDXOymgqoXmO9/VXzgprH88XExHThC.java, line(s) 50,53,122,105,117,215,225,235,263,270,294
jxEbDXOymgqoXmO9/WEOkPaOrBt65cYK1.java, line(s) 35,34,57,61,63
jxEbDXOymgqoXmO9/XBokputOFRYN81Ug.java, line(s) 24,39,29,76,23,36
jxEbDXOymgqoXmO9/XmfL8m7HfoB9yQUw.java, line(s) 84
jxEbDXOymgqoXmO9/c7zu5uPZyfoTswm4.java, line(s) 108
jxEbDXOymgqoXmO9/i11Ff6FdGDygT8PX.java, line(s) 26,25
jxEbDXOymgqoXmO9/ivIDtNxc79gNv3oL.java, line(s) 116,121,328,185,333,115,120,327,360,55,64,82,123,171,200,312,320,331
jxEbDXOymgqoXmO9/kPfuY2vnRpoikWyg.java, line(s) 95,62,86,87,94,63,35
jxEbDXOymgqoXmO9/qfkjQBQMnd3qWi98.java, line(s) 84,88,96,109,126,148,166,134,139,156,83,87,95,108,122,147,165,61
jxEbDXOymgqoXmO9/vrq1V5Z9hafqCA4s.java, line(s) 42,52,86,80,115,67,67,83,97,101
jxEbDXOymgqoXmO9/xPGhblaThc4km3te.java, line(s) 87,63,106
jxEbDXOymgqoXmO9/zIeNOL45YWD2DfUW.java, line(s) 49,62,112,160,111,122,122,154,175,188,204
kPfuY2vnRpoikWyg/Fu9tNbQPl3nHwnvi.java, line(s) 48,68,83,97,111,120,129
kPfuY2vnRpoikWyg/cY982oLeMFFbvmaz.java, line(s) 420,446,45,57,64,73,437,760,779
kPfuY2vnRpoikWyg/ghpbz1DUneuCR0VZ.java, line(s) 824,758,823
kPfuY2vnRpoikWyg/lujjsKQc6WvHrEhG.java, line(s) 53,144
l7G7yrpgL3DMpqzV/xKU0uzGoZgLQ59Xq.java, line(s) 10,45,17,9,16,23,24,30,44,31
l8vdx5BADqHZ1gaS/dL27yS48gLYepCqT.java, line(s) 31
lujjsKQc6WvHrEhG/GLwfYVFgj1bN1V79.java, line(s) 112,146,80
o6thhN9Lgi5TZjK2/m42VZKZ7l0r7DqPw.java, line(s) 419
obAKoOj3PjyWy498/tpumdwKZI9DRVRQe.java, line(s) 28
qPN0iSEaXGUdf19T/D5gm8PofxeOsPyQL.java, line(s) 72
qPN0iSEaXGUdf19T/RJ3AB3lEM1nDbc8n.java, line(s) 41,81
qPN0iSEaXGUdf19T/XvPxwGAM1B78yOWK.java, line(s) 97,102
qPN0iSEaXGUdf19T/dL27yS48gLYepCqT.java, line(s) 54,101
qPN0iSEaXGUdf19T/rzPqbSnf2ll7tDtA.java, line(s) 61
qfkjQBQMnd3qWi98/RJ3AB3lEM1nDbc8n.java, line(s) 37,44,47,71,76,81,86,91,99
v1JNWeGUgyFfTpVa/GLwfYVFgj1bN1V79.java, line(s) 141,289,292,69,70,315,321
yWeZbptisRjbl35u/xKU0uzGoZgLQ59Xq.java, line(s) 132,147,124,162
z5iOjhorKvnOit6z/nWtX77gsD9hWGRYA.java, line(s) 257,288,292,193
zIeNOL45YWD2DfUW/mEWGFrUHsDzt2hw4.java, line(s) 1034,1038

已通过安全项 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/469967176169/namespaces/firebase:fetch?key=AIzaSyBBjczkQvwZQjBb3otPihdIyR-3rlA5C0w ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分: ( SBI card 4.12025.4.214244)