应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Meine NEW v2.0.3616
44
安全评分
安全基线评分
44/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
5
高危
27
中危
4
信息
1
安全
隐私风险评估
5
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
5
中危安全漏洞
27
安全提示信息
4
已通过安全项
1
重点安全关注
0
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: i5/e.java, line(s) 70,9
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: m5/i.java, line(s) 387,381
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: m5/i.java, line(s) 511,46,47,400,401
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/nimbusds/jose/crypto/impl/AESCBC.java, line(s) 26 com/nimbusds/jose/jca/JCASupport.java, line(s) 181
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.new_service_gmbh.mapp.MainActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.new_service_gmbh.mapp.nfc.NfcIntentReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.android.gms.analytics.CampaignTrackingReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.new_service_gmbh.mapp.authorisation.AccountTypeService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.new_service_gmbh.mapp.ActivityImageViewer) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.new_service_gmbh.mapp.registration.ActivityRegistration) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.new_service_gmbh.mapp.nfc.NFCHost) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_NFC_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.new_service_gmbh.mapp.nfc.ActivityNFCAuth) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (net.openid.appauth.RedirectUriReceiverActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.microsoft.identity.client.BrowserTabActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.gms.nearby.exposurenotification.WakeUpService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.nearby.exposurenotification.EXPOSURE_CALLBACK [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.play.core.assetpacks.AssetPackExtractionService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/microsoft/identity/client/Constants.java, line(s) 7 com/microsoft/identity/client/SingleAccountPublicClientApplication.java, line(s) 32 com/microsoft/identity/common/adal/internal/AuthenticationConstants.java, line(s) 66,65,97,159,147,116,178,107,165,149,174,158,273,259 com/microsoft/identity/common/internal/broker/BrokerRequest.java, line(s) 220 com/microsoft/identity/common/internal/broker/BrokerResult.java, line(s) 348 com/microsoft/identity/common/internal/dto/AccountRecord.java, line(s) 59 com/microsoft/identity/common/internal/dto/Credential.java, line(s) 32 com/microsoft/identity/common/internal/eststelemetry/SchemaConstants.java, line(s) 10 com/microsoft/identity/common/internal/eststelemetry/SharedPreferencesLastRequestTelemetryCache.java, line(s) 11,12,13 com/microsoft/identity/common/internal/providers/oauth2/IDToken.java, line(s) 28 com/microsoft/identity/common/internal/providers/oauth2/TokenRequest.java, line(s) 50 org/altbeacon/beacon/service/MonitoringData.java, line(s) 7,8 org/altbeacon/beacon/service/RangingData.java, line(s) 11,12 org/altbeacon/beacon/service/SettingsData.java, line(s) 15 org/altbeacon/beacon/service/StartRMData.java, line(s) 10,11,12,24,25
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/CaptureManager.java, line(s) 111 k1/c.java, line(s) 90
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: n2/i.java, line(s) 4,28 o2/k.java, line(s) 5,41 o2/o.java, line(s) 3,26 o2/q.java, line(s) 5,6,136,259 o2/u.java, line(s) 4,5,128
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: j5/p.java, line(s) 290
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/new_service_gmbh/mapp/nfc/ActivityNFCAuth.java, line(s) 184 j5/p.java, line(s) 423
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/otaliastudios/cameraview/filters/DocumentaryFilter.java, line(s) 5 com/otaliastudios/cameraview/filters/GrainFilter.java, line(s) 6 com/otaliastudios/cameraview/filters/LomoishFilter.java, line(s) 5 com/otaliastudios/cameraview/video/encoding/AudioNoise.java, line(s) 6 g5/m0.java, line(s) 44 j6/a.java, line(s) 3 j6/b.java, line(s) 4 k6/a.java, line(s) 4
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: i5/e.java, line(s) 62,61
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: i5/e.java, line(s) 42,61
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/nimbusds/jose/jwk/Curve.java, line(s) 16,17,18,19
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: b4/e.java, line(s) 45,45
中危安全漏洞 Firebase远程配置已启用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/78051619723/namespaces/firebase:fetch?key=AIzaSyAoKCLz9msLvUHJIOvUQDBHSdy3eozczaA ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:
{
"entries": {
"login_email": "true",
"login_facebook": "true",
"login_google": "true",
"login_phone": "false",
"login_twitter": "false"
},
"state": "UPDATE",
"templateVersion": "36"
}
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.google.android.nearby.messages.API_KEY" : "AIzaSyAoZ6GoU-1CjkRA3Vi05jnktr6_KaZbxMo" 凭证信息=> "com.new_service_gmbh.mapp.API_KEY" : "AIzaSyAoZ6GoU-1CjkRA3Vi05jnktr6_KaZbxMo" 凭证信息=> "com.google.android.backup.api_key" : "AEdPqrEAAAAIJ6ZdKHPq_0uOeNdP0BerRhLnN0lcMN993i5cTQ" "com.google.firebase.crashlytics.mapping_file_id" : "d281eef726e944e79c55e27224e9ea15" "firebase_database_url" : "https://meinenew-396ed.firebaseio.com" "google_api_key" : "AIzaSyAoKCLz9msLvUHJIOvUQDBHSdy3eozczaA" "google_api_key_" : "AIzaSyAMjxPf9ppLQigT_ItF9qgrI7I4PcKk3S4" "google_app_id" : "1:78051619723:android:2259a81f2d88443a" "google_app_id_" : "1:304463669788:android:7e9385aaa679dfea" "google_crash_reporting_api_key" : "AIzaSyAoKCLz9msLvUHJIOvUQDBHSdy3eozczaA" "http_auth_dialog_cancel" : "Cancel" "http_auth_dialog_login" : "Login" "http_auth_dialog_password" : "Password" "http_auth_dialog_username" : "Username" "password" : "Passwort" "prefkey" : "prefkey" "username" : "Benutzername" 115792089210356248762697446949407573529996955224135760342422259061068512044369 115792089210356248762697446949407573530086143415290314195533631308867097853948 41058363725152142129326129780047268409114441015993725554835256314039467401291 6864797660130609714981900799081393217269435300143305409394463459185543183397655394245057746333217197532963996371363321113864768612440380340372808892707005449 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112319 26247035095799689268623156744566981891852923491109213387815615900925518854738050089022388053975719786650872476732087 32670510020758816978083085130507043184471273380659243275938904335757337482424 39402006196394479212279040100143613805079739270465446667946905279627659399113263569398956308152294913554433653942643 115792089237316195423570985008687907853269984665640564039457584007908834671663 1093849038073734274511112390766805569936207598951683748994586394495953116150735016013708737573759623248592132296706313309438452531591012912142327488478985984 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057148 fcg80qvoM1YMKJZibjBwQcDfOno= 00A404000FF84E45574D415050303172756C657A00 29d9ed98-a469-4536-ade2-f981bc1d605e 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057151 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112316 7fmduHKTdHHrlMvldlEqAIlSfii1tl35bxj1OXN5Ve8c4lU6URVu4xtSHc3BVZxS6WWJnxMDhIfQN0N0K2NDJg== 8325710961489029985546751289520108179287853048861315594709205902480503199884419224438643760392947333078086511627871 115792089210356248762697446949407573530086143415290314195533631308867097853951 115792089237316195423570985008687907852837564279074904382605163141518161494337 494aa4dd-1c7b-453f-88b1-513bbe6982d0 36134250956749795798585127919587881956611106672985015071877198253568414405109 27580193559959705877849011840389048093056905856361568521428707301988689241309860865136260764883745107765439761230575 00A404000FF84E45574D415050303272756C657A00 3757180025770020463545507224491183603594455134769762486694567779615544477440556316691234405012945539562144444537289428522585666729196580810124344277578376784 2661740802050217063228768716723360960729859168756973147706671368418802944996427808491545080627771902352094241225065558662157113545570916814161637315895999846 9188040d-6c67-4c5b-b112-36a304b66dad 48439561293906451759052585252797914202762949526041747995844080717082404635286 55066263022277343669578718895168534326250603453777594175500187360389116729240
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a0/e.java, line(s) 32 a0/f.java, line(s) 71 a0/o.java, line(s) 43 b0/a.java, line(s) 144,199 b1/a.java, line(s) 30 b4/d.java, line(s) 371 b4/j.java, line(s) 19,44,50,37,43,49,55,61,62 c4/x0.java, line(s) 673 c5/a.java, line(s) 90 c5/c.java, line(s) 94 c7/a.java, line(s) 93 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 94,625,737,216,242 com/journeyapps/barcodescanner/CaptureManager.java, line(s) 117 com/journeyapps/barcodescanner/camera/AutoFocusManager.java, line(s) 79,97 com/journeyapps/barcodescanner/camera/CameraInstance.java, line(s) 30,45,58,70 com/journeyapps/barcodescanner/camera/CameraManager.java, line(s) 57,195,316,125,131,169,177 com/microsoft/identity/common/adal/internal/cache/DateTimeAdapter.java, line(s) 50 com/microsoft/identity/common/adal/internal/util/StringExtensions.java, line(s) 71 com/microsoft/identity/common/internal/logging/Logger.java, line(s) 139,127,141 com/new_service_gmbh/mapp/MainActivity.java, line(s) 898,904,1201 com/new_service_gmbh/mapp/MainApplication.java, line(s) 94,86 com/otaliastudios/cameraview/CameraLogger.java, line(s) 30,25 com/shockwave/pdfium/PdfiumCore.java, line(s) 27,190,194 d0/k.java, line(s) 31 e0/d.java, line(s) 104,109 e0/e.java, line(s) 37 e0/f.java, line(s) 55 e0/g.java, line(s) 42 e0/h.java, line(s) 55,263 e0/m.java, line(s) 85 e5/c.java, line(s) 137 e5/d.java, line(s) 221 f2/b.java, line(s) 109,138 f2/d.java, line(s) 144,145 g5/a0.java, line(s) 20 g5/j.java, line(s) 197 g5/m0.java, line(s) 569 h/f.java, line(s) 146,183,195,205,383 j1/b.java, line(s) 248,279,379,102,168,173,182,187,196,206,312,347,365,374,429,512,557,562,581,621 j1/b0.java, line(s) 109,832,28,281 j1/f0.java, line(s) 53,95,599 j1/j.java, line(s) 44,428,585,622,626,639,736,746,777 j5/g.java, line(s) 31 k1/a.java, line(s) 127,129,31,40,47,96 k1/c.java, line(s) 84,190,248,256,282,292,307,322 l0/a.java, line(s) 274 l0/b.java, line(s) 57 l0/f0.java, line(s) 993,1022,402 l0/r.java, line(s) 32,45,92,158,209,226,250 l0/t0.java, line(s) 152,169,49,143 l2/a.java, line(s) 16,8,15 l3/c.java, line(s) 225 n2/d.java, line(s) 91 n3/a.java, line(s) 488 net/sqlcipher/AbstractCursor.java, line(s) 140 net/sqlcipher/BulkCursorToCursorAdaptor.java, line(s) 44,62,98,109,153,172,197,36,74,183 net/sqlcipher/DatabaseUtils.java, line(s) 118,156,597,608 net/sqlcipher/DefaultDatabaseErrorHandler.java, line(s) 14,24,26,30,18 net/sqlcipher/database/SQLiteCompiledSql.java, line(s) 68 net/sqlcipher/database/SQLiteCursor.java, line(s) 152,218,257,279 net/sqlcipher/database/SQLiteDatabase.java, line(s) 330,380,393,408,614,785,928,988,1075,1159,1330,128,990,1322,589 net/sqlcipher/database/SQLiteDebug.java, line(s) 7,8,9,10,11,12 net/sqlcipher/database/SQLiteOpenHelper.java, line(s) 68,89 net/sqlcipher/database/SQLiteQueryBuilder.java, line(s) 222 net/sqlcipher/database/SqliteWrapper.java, line(s) 29,39,53,63,73 o0/c.java, line(s) 85 o2/q.java, line(s) 242 org/altbeacon/beacon/logging/InfoAndroidLogger.java, line(s) 12,35,26,49 org/altbeacon/beacon/logging/VerboseAndroidLogger.java, line(s) 13,38,28,53 org/altbeacon/beacon/logging/WarningAndroidLogger.java, line(s) 12,34,25,47 p0/l.java, line(s) 19 q3/a.java, line(s) 33 r/d.java, line(s) 244 r5/c.java, line(s) 30,49,59 s0/c.java, line(s) 247 t3/f.java, line(s) 130 u2/g.java, line(s) 44 v/d.java, line(s) 688,603 w/a.java, line(s) 150,153,154,155,159 w1/h.java, line(s) 66 w1/n.java, line(s) 94,11 x0/a.java, line(s) 75,635,717,722,873,1196,1204 x1/d.java, line(s) 116 x1/h.java, line(s) 45 y1/c.java, line(s) 73 y1/e.java, line(s) 74 z4/b.java, line(s) 133
安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: j5/p.java, line(s) 43,27,28,29,30,31
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: i5/d.java, line(s) 6,53,85
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://meinenew-396ed.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: h4/k.java, line(s) 42
综合安全基线评分总结
Meine NEW v2.0.3616
Android APK
44
综合安全评分
中风险