应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Akıllı Bilet v4.0.39.217
55
安全评分
安全基线评分
55/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
14
中危
2
信息
2
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
14
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 Firebase数据库未授权访问
位于 https://asis-akillibiletim.firebaseio.com/.json 的 Firebase 数据库在没有任何身份验证的情况下暴露在互联网上。响应内容如下所示:
{
"CityCoordinates": [
{
"cityCode": "2",
"coordinates": {
"latitude": 37.766923,
"longitude": 38.270891
}
},
{
"cityCode": "203",
"coordinates": {
"latitude": 38.752251,
"longitude": 30.560527
}
},
{
"cityCode": "152",
"coordinates": {
"latitude": 38.701146,
"longitude": 30.782661
}
},
{
"cityCode": "154",
"coordinates": {
"latitude": 38.862906,
"longitude": 30.753267
}
},
{
"cityCode": "4",
"coordinates": {
"latitude": 39.606047,
"longitude": 43.180837
}
},
{
"cityCode": "9",
"coordinates": {
"latitude": 37.841331,
"longitude": 27.837975
}
},
{
"cityCode": "10",
"coordinates": {
"latitude": 39.647536,
"longitude": 27.88992
}
},
{
"cityCode": "74",
"coordinates": {
"latitude": 41.632729,
"longitude": 32.338288
}
},
{
"cityCode": "72",
"coordinates": {
"latitude": 37.887386,
"longitude": 41.134311
}
},
{
"cityCode": "69",
"coordinates": {
"latitude": 40.254012,
"longitude": 40.226464
}
},
{
"cityCode": "169",
"coordinates": {
"latitude": 40.254012,
"longitude": 40.226464
}
},
{
"cityCode": "12",
"coordinates": {
"latitude": 38.889644,
"longitude": 40.496644
}
},
{
"cityCode": "105",
"coordinates": {
"latitude": 40.235131,
"longitude": 26.606682
}
},
{
"cityCode": "18",
"coordinates": {
"latitude": 40.599782,
"longitude": 33.614584
}
},
{
"cityCode": "19",
"coordinates": {
"latitude": 40.549176,
"longitude": 34.955465
}
},
{
"cityCode": "20",
"coordinates": {
"latitude": 37.782316,
"longitude": 29.076792
}
},
{
"cityCode": "21",
"coordinates": {
"latitude": 37.930099,
"longitude": 40.199585
}
},
{
"cityCode": "23",
"coordinates": {
"latitude": 38.673122,
"longitude": 39.219189
}
},
{
"cityCode": "24",
"coordinates": {
"latitude": 39.750237,
"longitude": 39.493608
}
},
{
"cityCode": "113",
"coordinates": {
"latitude": 37.147432,
"longitude": 29.51146
}
},
{
"cityCode": "29",
"coordinates": {
"latitude": 40.456261,
"longitude": 39.491781
}
},
{
"cityCode": "129",
"coordinates": {
"latitude": 40.456261,
"longitude": 39.491781
}
},
{
"cityCode": "30",
"coordinates": {
"latitude": 37.570875,
"longitude": 43.737882
}
},
{
"cityCode": "31",
"coordinates": {
"latitude": 36.583252,
"longitude": 36.174076
}
},
{
"cityCode": "76",
"coordinates": {
"latitude": 39.921425,
"longitude": 44.047238
}
},
{
"cityCode": "78",
"coordinates": {
"latitude": 41.208327,
"longitude": 32.63412
}
},
{
"cityCode": "70",
"coordinates": {
"latitude": 37.179969,
"longitude": 33.22695
}
},
{
"cityCode": "40",
"coordinates": {
"latitude": 39.145236,
"longitude": 34.160167
}
},
{
"cityCode": "156",
"coordinates": {
"latitude": 41.433887,
"longitude": 31.746718
}
},
{
"cityCode": "43",
"coordinates": {
"latitude": 39.420038,
"longitude": 29.990151
}
},
{
"cityCode": "44",
"coordinates": {
"latitude": 38.347507,
"longitude": 38.295731
}
}
],
"poc": {
"aa977e7f938a3d84e8ec779a9f749ca5": "4d5c3579b75a65e8bae0f84f4c6e5df6e765f199"
}
}
中危安全漏洞 Service (com.asis.baseapp.service.NfcHostApduServiceImpl) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_NFC_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.asis.baseapp.watch.WatchDataService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.asis.baseapp.ui.virtual.qr.QrReadActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/asis/baseapp/data/models/report/get/ScreenDetailKeyValue.java, line(s) 58
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/asis/baseapp/ui/virtual/photo/CaptureUserPhotoActivity.java, line(s) 95,190,285
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/asis/baseapp/ui/virtual/photo/CaptureUserPhotoActivity.java, line(s) 95,190,285
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: net/sqlcipher/DatabaseUtils.java, line(s) 6,7,8,9,10,11,59 net/sqlcipher/database/SQLiteDatabase.java, line(s) 7,8,1361,1380,355,385,812,819,1080,1345,1465,1604,1627,1781
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.google.android.geo.API_KEY" : "AIzaSyD-zkis3pKi3UlCXuU2HEue54LJtGPSEEY" "com.google.firebase.crashlytics.mapping_file_id" : "8b35eda86a7e45eeb1114e3a1f8810d8" "firebase_database_url" : "https://asis-akillibiletim.firebaseio.com" "google_api_key" : "AIzaSyD-zkis3pKi3UlCXuU2HEue54LJtGPSEEY" "google_app_id" : "1:769719159517:android:934b14e9480f646c" "google_crash_reporting_api_key" : "AIzaSyD-zkis3pKi3UlCXuU2HEue54LJtGPSEEY" "library_android_database_sqlcipher_authorWebsite" : "https://www.zetetic.net/sqlcipher/" "library_zxingandroidembedded_author" : "JourneyApps" "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "continue_to_reset_password" : "Continue" "password" : "Password" "continue_to_reset_password" : "Vazhdo" "continue_to_reset_password" : "Nastavi" "password" : "Lozinka" 80e547aee55ee5c5c5432640d4f29be7 7ca7d55a8c711915ceff3542abc29615 e2a867dc1fb6cc4ed1b094f78dd36bba 9dded497d989a25217470bf625cdd11f e6cc15bd363934d3b9152aaa2fbfbadf 1702534a6d44a896af5845be79f3391f 1b1023571470fa664e18f098a2aae3e6 8d4711ee992499b9d8ad03ffeecc0c2b
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/asis/baseapp/ui/virtual/photo/CaptureUserPhotoActivity.java, line(s) 120,215,310,119,214,309 com/asis/userlogger/worker/LogSendWorker$doWork$result$2$1$1.java, line(s) 56,58 com/asis/userlogger/worker/LogSendWorker$doWork$result$2.java, line(s) 49,58 com/journeyapps/barcodescanner/BarcodeView.java, line(s) 55 net/sqlcipher/AbstractCursor.java, line(s) 140 net/sqlcipher/BulkCursorToCursorAdaptor.java, line(s) 44,62,102,113,157,184,209,36,78,195 net/sqlcipher/DatabaseUtils.java, line(s) 119,157,592,603 net/sqlcipher/DefaultDatabaseErrorHandler.java, line(s) 14,24,26,30,18 net/sqlcipher/database/SQLiteCompiledSql.java, line(s) 49,60,70,78 net/sqlcipher/database/SQLiteContentHelper.java, line(s) 25 net/sqlcipher/database/SQLiteDatabase.java, line(s) 183,1097,1108,1477,1485 net/sqlcipher/database/SQLiteDebug.java, line(s) 8,9,10,11,12,13 net/sqlcipher/database/SQLiteOpenHelper.java, line(s) 125,144 net/sqlcipher/database/SQLiteProgram.java, line(s) 46,52 net/sqlcipher/database/SQLiteQuery.java, line(s) 117 net/sqlcipher/database/SQLiteQueryBuilder.java, line(s) 223,222 net/sqlcipher/database/SqliteWrapper.java, line(s) 30,40,54,64,74
安全提示信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密
此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 Files: net/sqlcipher/database/SupportHelper.java, line(s) 13,1
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/asis/userlogger/data/api/ApiService$service$2.java, line(s) 20,20
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/769719159517/namespaces/firebase:fetch?key=AIzaSyD-zkis3pKi3UlCXuU2HEue54LJtGPSEEY ) 已禁用。响应内容如下所示: 响应码是 403
综合安全基线评分总结
Akıllı Bilet v4.0.39.217
Android APK
55
综合安全评分
中风险