| 1 |
应用程序可以安装在有漏洞的已更新 Android 版本上
Android 4.0-4.0.2, [minSdk=14]
|
警告
|
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
|
|
| 2 |
应用程序具有网络安全配置
[android:networkSecurityConfig=@xml/network_security_config]
|
信息
|
网络安全配置功能让应用程序可以在一个安全的,声明式的配置文件中自定义他们的网络安全设置,而不需要修改应用程序代码。这些设置可以针对特定的域名和特定的应用程序进行配置。
|
|
| 3 |
应用程序数据可以被备份
[android:allowBackup=true]
|
警告
|
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
|
|
| 4 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CallRecordsActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 5 |
Activity (com.hb.dialer.ui.CallRecordsActivity) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 6 |
Activity (tiny.lib.log.ui.CrashReportActivity) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 7 |
Service (com.hb.dialer.incall.svc.InCallServiceImpl) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INCALL_SERVICE
[android:exported=true]
|
警告
|
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
|
|
| 8 |
Service (com.hb.dialer.incall.svc.InCallServiceProxy) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INCALL_SERVICE
[android:exported=true]
|
警告
|
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
|
|
| 9 |
Activity设置了TaskAffinity属性
(com.hb.dialer.incall.InCallActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 10 |
Activity (com.hb.dialer.incall.InCallActivity) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 11 |
Broadcast Receiver (com.hb.dialer.incall.presenters.notifications.MissedCallReceiver) 未被保护。
[android:exported=true]
|
警告
|
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 12 |
Broadcast Receiver (com.hb.dialer.incall.voicemail.VoicemailReceiver) 未被保护。
[android:exported=true]
|
警告
|
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 13 |
Activity (com.hb.dialer.ui.welcome.WelcomeActivity) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 14 |
Activity (com.hb.dialer.ui.PhoneActivityImpl) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 15 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.PhoneActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 16 |
Activity (com.hb.dialer.ui.PhoneActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 17 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$Favorites)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 18 |
Activity (com.hb.dialer.ui.ShcStartActivity$Favorites) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 19 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$Contacts)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 20 |
Activity (com.hb.dialer.ui.ShcStartActivity$Contacts) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 21 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$Groups)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 22 |
Activity (com.hb.dialer.ui.ShcStartActivity$Groups) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 23 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$Dialer)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 24 |
Activity (com.hb.dialer.ui.ShcStartActivity$Dialer) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 25 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$ContactsNonRemovable)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 26 |
Activity (com.hb.dialer.ui.ShcStartActivity$ContactsNonRemovable) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 27 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ShcStartActivity$PhoneWrapper)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 28 |
Activity (com.hb.dialer.ui.ShcStartActivity$PhoneWrapper) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 29 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CallHistoryInterceptorActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 30 |
Activity (com.hb.dialer.ui.CallHistoryInterceptorActivity)如果未对输入进行校验,此配置允许同一设备上没有任何权限的第三方应用程序调用它并发起电话呼叫,而无需用户交互。
|
高危
|
一个导出的Activity ,如果没有对接收Intent的输入验证,则可以调用拨号程序进行拨打电话而无需用户交互,这很可能是一个高危漏洞,请人工核验。
|
|
| 31 |
Activity (com.hb.dialer.ui.CallHistoryInterceptorActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 32 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.SimDecideActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 33 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.settings.BackupRestoreActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 34 |
Activity (com.hb.dialer.ui.settings.BackupRestoreActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 35 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.ContactDetailsActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 36 |
Activity (com.hb.dialer.ui.ContactDetailsActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 37 |
Activity (com.hb.dialer.ui.NewContactActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 38 |
Activity (com.hb.dialer.ui.EulaActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 39 |
Activity (com.hb.dialer.ui.PromoCodeActivity) 的启动模式不是standard模式
|
高危
|
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
|
|
| 40 |
Activity (com.hb.dialer.ui.PromoCodeActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 41 |
Activity (com.hb.dialer.ui.PeopleActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 42 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcActivity$People)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 43 |
Activity (com.hb.dialer.ui.CreateShcActivity$People) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 44 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcActivity$Favorites)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 45 |
Activity (com.hb.dialer.ui.CreateShcActivity$Favorites) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 46 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcActivity$Groups)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 47 |
Activity (com.hb.dialer.ui.CreateShcActivity$Groups) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 48 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcContactActionActivity$DirectDial)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 49 |
Activity (com.hb.dialer.ui.CreateShcContactActionActivity$DirectDial) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 50 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcContactActionActivity$DirectMessage)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 51 |
Activity (com.hb.dialer.ui.CreateShcContactActionActivity$DirectMessage) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 52 |
Activity设置了TaskAffinity属性
(com.hb.dialer.ui.CreateShcContactActionActivity$ViewContact)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 53 |
Activity (com.hb.dialer.ui.CreateShcContactActionActivity$ViewContact) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 54 |
Service (com.hb.dialer.svc.AccessibilitySvc) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE
[android:exported=true]
|
警告
|
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
|
|
| 55 |
Service (com.hb.dialer.svc.NotificationsWatcherSvc) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_NOTIFICATION_LISTENER_SERVICE
[android:exported=true]
|
警告
|
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
|
|
| 56 |
Broadcast Receiver (com.hb.dialer.svc.CallsInterceptor) 未被保护。
[android:exported=true]
|
警告
|
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 57 |
Broadcast Receiver (com.hb.dialer.svc.OtherEventsReceiver) 未被保护。
[android:exported=true]
|
警告
|
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 58 |
Broadcast Receiver (com.hb.dialer.utils.updates.HbtAppUpdaterReceiver) 未被保护。
[android:exported=true]
|
警告
|
发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 59 |
Activity设置了TaskAffinity属性
(com.android.contacts.common.vcard_port.ImportVCardActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 60 |
Activity (com.android.contacts.common.vcard_port.ImportVCardActivity) 未被保护。
[android:exported=true]
|
警告
|
发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
|
|
| 61 |
Activity设置了TaskAffinity属性
(com.android.contacts.common.vcard_port.SelectAccountActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 62 |
Activity设置了TaskAffinity属性
(com.android.contacts.common.vcard_port.ExportVCardActivity)
|
警告
|
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
|
|
| 63 |
Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP
[android:exported=true]
|
警告
|
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
|
|
