应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
掌运达 v1
47
安全评分
安全基线评分
47/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
3
高危
24
中危
1
信息
1
安全
隐私风险评估
7
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
3
中危安全漏洞
24
安全提示信息
1
已通过安全项
1
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/huawei/a/f/g/b.java, line(s) 75,117 com/huawei/a/k/e/b.java, line(s) 46
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 93,19,20,21
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Activity (com.tencent.tauth.AuthActivity) 未受保护。
存在 intent-filter。 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.igexin.sdk.PushActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.igexin.sdk.GActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.xianyi.mobile.dtxyzyd.wxapi.WXPayEntryActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity (io.dcloud.PandoraEntryActivity) 受权限保护,但应检查权限保护级别。
Permission: com.miui.securitycenter.permission.AppPermissionsEditor [android:exported=true] 检测到 Activity 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.igexin.sdk.HmsPushSubReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.meizu.cloud.pushsdk.SystemReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.igexin.sdk.FlymePushReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Service (com.igexin.sdk.OppoPushService) 受权限保护,但应检查权限保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.igexin.sdk.OppoAppPushService) 受权限保护,但应检查权限保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.igexin.sdk.VivoPushMessageReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Activity (com.alipay.sdk.app.PayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.alipay.sdk.app.AlipayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.sina.weibo.sdk.share.ShareTransActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/baidu/b/g.java, line(s) 26,80,82 com/baidu/vi/VDeviceAPI.java, line(s) 81,86 com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 23,24,26,51,111 com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 20,42,42,51 com/taobao/gcanvas/audio/GAudioPlayer.java, line(s) 64,65,116,117 com/xiaomi/a/a/b.java, line(s) 77,147,175 com/xiaomi/a/c/c.java, line(s) 169 com/xiaomi/a/c/d.java, line(s) 88
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 78 com/baidu/b/d/c.java, line(s) 9 com/huawei/a/f/g/e.java, line(s) 32 com/huawei/a/f/g/i.java, line(s) 79 com/jg/ids/i/i.java, line(s) 101 com/xiaomi/a/c/g.java, line(s) 354 org/repackage/a/a/a/a/c.java, line(s) 59
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 26 com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 34
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/baidu/b/c/b/b.java, line(s) 8 com/github/faucamp/simplertmp/packets/Handshake.java, line(s) 9 com/xiaomi/a/c/g.java, line(s) 38
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/huawei/a/f/b/j.java, line(s) 26 com/huawei/a/f/f/j.java, line(s) 25 com/huawei/a/i/c.java, line(s) 39,306
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/baidu/aip/core/mini/AutoCheck.java, line(s) 249 com/tencent/qphone/base/util/QLog.java, line(s) 10 com/xiaomi/a/a/a.java, line(s) 62
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/baidu/b/d/b.java, line(s) 26
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 vivo推送的=> "com.vivo.push.app_id" : "105159017" UniPush推送的=> "MIPUSH_APPKEY" : "XM_5531863023258" QQ授权的=> "QQ_APPID" : "1104455702" UniPush推送的=> "MEIZUPUSH_APPID" : "MZ_134319" 百度语音识别的=> "com.baidu.speech.APP_ID" : "11770490" DCloud(数字天堂)的=> "dcloud_appkey" : "1764e9eac73c20a85ee33127abbff576" 百度语音识别的=> "com.baidu.speech.SECRET_KEY" : "vZK4rC7ueQTMrhavm3qVlnGicPTeUCEr" 小米分享的=> "MIUI_APPID" : "_%小米分享的APPID%" 新浪微博分享的=> "SINA_APPKEY" : "_3662743235" UniPush推送的=> "OPPOPUSH_APPSECRET" : "OP_77fc1fb158c741c3ac45b04b79f35c17" 友盟统计的=> "UMENG_CHANNEL" : "googleplay" 个推–推送服务的=> "PUSH_APPKEY" : "vSewtjCvlb5ajJV2NxNjI8" 新浪微博分享的=> "SINA_SECRET" : "b8fa3ec4b7e47a152044d9e8265cf593" 个推–推送服务的=> "PUSH_APPID" : "JHbvDj1idZ6tXUz3ZqpSc9" 小米分享的=> "MIUI_APPSECRET" : "%小米分享的appSecret%" 高德地图的=> "com.amap.api.v2.apikey" : "1245f55df04583e53eb0fbf511be9a08" 个推–推送服务的=> "PUSH_APPSECRET" : "IKts9V94bn8mSOumn4Pg83" UniPush推送的=> "MEIZUPUSH_APPKEY" : "MZ_410863e5b0444c60bef878f26d5b2aab" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=103393953" 友盟统计的=> "UMENG_APPKEY" : "55b1b625e0f55a138300449d" vivo推送的=> "com.vivo.push.api_key" : "21338ad41f5f311e5314564a43b0df8a" UniPush推送的=> "OPPOPUSH_APPKEY" : "OP_6f38a3573a2c4ff48ec29321da3e2e63" UniPush推送的=> "MIPUSH_APPID" : "XM_2882303761518630258" 凭证信息=> "IFLY_APPKEY" : "53feacdd" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "NkQUU5hdGVmKCDpWyp7Kp3j1gFlm4k5L" 百度语音识别的=> "com.baidu.speech.API_KEY" : "cDFRHjbhBklzS1ZKFBnz9cHg" "app_id" : "H5EF97D4F" "dcloud_permissions_reauthorization" : "reauthorize" "dcloud_feature_oauth_weixin_plugin_description" : "wechat" 30820122300d06092a864886f70d01010105000382010f003082010a0282010100c54db230ca0e0f37b105a3cd364dd20c76d3574a781f884aeb7d7548fb33928eaafe7cf9d94b3dcb553bbb9e61821738b359da9f8cf1e9281cfbf84 49cb4254efce57d5861aedca86e5baf1205b09cd7f742b38065559f0f70676754915acca5ad6eeaa0d68dfd5143d0a50faedb6cda3b13852705c881ba5b587ecbbb4467cbed08b6754a3f424d90c66fd3b82d48bd5c132b88ff36da668f5adc286ec8317166c70110203010001 f6040d0e807aaec325ecf44823765544e92905158169f694b282bf17388632cf95a83bae7d2d235c1f039 9A04F079-9840-4286-AB92-E65BE0885F95 2d1e55658d041b98ce28d81f5c7fe8b85b528f6afea350f28da6e833df875e19a6c71c59050298b28323c8910980c12a8e731e0c47dc14da076e88e25a8b7e9a7c33b27baf12e1c9de861523af15f577789389b700578670b6e37ff5e a8cb572c8030b2df5c2b622608bea02b0c3e5d4dff3f72c9e3204049a45c0760cd3604af8d57f0e0c693cc b0df1dcca5fda619b6f7f459f2ff8d70ddb7b601592fe29fcae58c028f319b3b12495e67aa5390942a997 A2B55680-6F43-11E0-9A3F-0002A5D5C51B
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69 androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 77,85,168,197 androidtranscoder/engine/QueuedMuxer.java, line(s) 95,97,105 androidtranscoder/engine/TextureRender.java, line(s) 49,61,62,77,81,99 androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 23 com/baidu/aip/core/recog/listener/RecogEventAdapter.java, line(s) 23 com/baidu/b/c.java, line(s) 140,148 com/baidu/b/g.java, line(s) 40 com/coremedia/iso/boxes/sampleentry/VisualSampleEntry.java, line(s) 108 com/dmcbig/mediapicker/PreviewActivity.java, line(s) 194 com/github/faucamp/simplertmp/Crypto.java, line(s) 17,19,28,38 com/github/faucamp/simplertmp/amf/AmfString.java, line(s) 94,105 com/github/faucamp/simplertmp/io/RtmpConnection.java, line(s) 112,121,123,128,154,206,214,222,252,271,315,345,507,517,523,592,603,611,615,622,626,631,347,483,486,535,538,642,510,529,618 com/github/faucamp/simplertmp/io/RtmpDecoder.java, line(s) 42 com/github/faucamp/simplertmp/packets/Handshake.java, line(s) 21,26,37,38,42,43,54,56,58,63,65,67,72,79,91,95,105,138 com/huawei/a/g/d.java, line(s) 28,23,26,21 com/seu/magicfilter/utils/DCOpenGLUtil.java, line(s) 126,131,140,157 com/taobao/gcanvas/GCanvasJNI.java, line(s) 136,138,76,78,124 com/taobao/gcanvas/GFontConfigParser.java, line(s) 63,78,93,109,165,175,181,228,239,245,250 com/taobao/gcanvas/adapters/img/impl/fresco/GCanvasFrescoImageLoader.java, line(s) 50,54 com/taobao/gcanvas/audio/GAudioHandler.java, line(s) 53,99,250,260 com/taobao/gcanvas/audio/GAudioPlayer.java, line(s) 125 com/taobao/gcanvas/bridges/spec/module/AbsGBridgeModule.java, line(s) 96,110,155,166,169,192,205,354,125,177,213,350,364 com/taobao/gcanvas/bridges/weex/GCanvasWeexModule.java, line(s) 103,104,109,173,186,281,282,293,298,306,165,180,276 com/taobao/gcanvas/bridges/weex/WXGCanvasWeexComponent.java, line(s) 115,131,110 com/taobao/gcanvas/surface/GTextureView.java, line(s) 74,78,80 com/taobao/gcanvas/surface/GTextureViewCallback.java, line(s) 69,80,94,111,127,134 com/taobao/gcanvas/util/GCanvasHelper.java, line(s) 26,50 com/taobao/gcanvas/util/GLog.java, line(s) 44,91,97,56,62,75,81,129,135,110,116 com/tencent/ijk/media/exo/demo/EventLogger.java, line(s) 78,82,86,90,96,99,102,106,109,111,123,126,137,143,146,150,160,163,169,179,187,192,196,200,202,206,208,212,216,220,224,228,236,240,244,248,252,256,264,268,272,316,329,332,335,338,341,344,346,349,115,321 com/tencent/ijk/media/player/IjkMediaCodecInfo.java, line(s) 196,198 com/tencent/ijk/media/player/IjkMediaPlayer.java, line(s) 945,949,815,846,824,940,952,974,324,464,854,971 com/tencent/ijk/media/player/pragma/DebugLog.java, line(s) 50,54,58,14,18,22,26,30,34,62,66,70,38,42,46 com/tencent/qphone/base/util/QLog.java, line(s) 68,72,44,60,64,52,56 com/xianyi/mobile/dtxyzyd/wxapi/WXPayEntryActivity.java, line(s) 9 com/xianyi/mobile/dtyy/wxapi/WXEntryActivity.java, line(s) 21,28,36,41,44,45,61,72,62 master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56 net/ossrs/yasea/SrsEncoder.java, line(s) 143,148,170,180,524,542,549,551 net/ossrs/yasea/SrsFlvMuxer.java, line(s) 468,69,73,86,154,664,165 net/ossrs/yasea/SrsMp4Muxer.java, line(s) 361,182 tv/cjump/jni/DeviceUtils.java, line(s) 64 tv/cjump/jni/NativeBitmapFactory.java, line(s) 70,125
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/huawei/a/i/f.java, line(s) 30,29,27,22 com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 91,93
综合安全基线评分总结
掌运达 v1
Android APK
47
综合安全评分
中风险