应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
CAARD v1.1.19
43
安全评分
安全基线评分
43/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
16
中危
2
信息
1
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
16
安全提示信息
2
已通过安全项
1
重点安全关注
0
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=net.caard.app.MainActivity][android:host=https://dev-links.caard.net] App Link 资产验证 URL(https://dev-links.caard.net/.well-known/assetlinks.json)未找到或配置不正确。(状态码:404)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=net.caard.app.MainActivity][android:host=https://links.caard.net] App Link 资产验证 URL(https://links.caard.net/.well-known/assetlinks.json)未找到或配置不正确。(状态码:404)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=net.caard.app.MainActivity][android:host=https://caard.net] App Link 资产验证 URL(https://caard.net/.well-known/assetlinks.json)未找到或配置不正确。(状态码:301)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/it_nomads/fluttersecurestorage/ciphers/h.java, line(s) 75
中危安全漏洞 应用数据存在泄露风险
未设置[android:allowBackup]标志 建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (io.flutter.plugins.firebase.messaging.FlutterFirebaseMessagingReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/mr/flutter/plugin/filepicker/b.java, line(s) 313 com/mr/flutter/plugin/filepicker/c.java, line(s) 65,118 j3/m0.java, line(s) 147,1034,1149 lf/a.java, line(s) 67 o2/a.java, line(s) 38
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 133 com/dexterous/flutterlocalnotifications/models/NotificationDetails.java, line(s) 51,65 kb/SharedPreferencesPigeonOptions.java, line(s) 59 s2/g.java, line(s) 85 x1/SocialMedia.java, line(s) 83
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: gc/a.java, line(s) 3 gc/b.java, line(s) 4 hc/a.java, line(s) 4 j3/m0.java, line(s) 56 p2/k.java, line(s) 4
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/mr/flutter/plugin/filepicker/c.java, line(s) 65 f7/c.java, line(s) 80 w/t.java, line(s) 136
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f7/b.java, line(s) 55
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: f4/m0.java, line(s) 7,8,133,167,186,195,245,352,369,724 f4/t0.java, line(s) 4,5,135 m9/i.java, line(s) 9,10,11,12,13,351
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 凭证信息=> "com.google.android.geo.API_KEY" : "AIzaSyDXn9_mVzBL1PO7JmVkB_ClNw-OM3357hw" "android.credentials.TYPE_PASSWORD_CREDENTIAL" : "Password" "androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" : "Passkey" "facebook_app_id" : "1341825633853699" "facebook_client_token" : "6bd70269f561b77fd52a041d9366fa84" "google_api_key" : "AIzaSyAkfLaLEz4sf9nodnmOF0OL1psL4OlM_lE" "google_app_id" : "1:1057996800161:android:6b1c491e40ee4c478a70e0" "google_crash_reporting_api_key" : "AIzaSyAkfLaLEz4sf9nodnmOF0OL1psL4OlM_lE" VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy VGhpcyBpcyB0aGUga2V5IGZvciBhIHNlY3VyZSBzdG9yYWdlIEFFUyBLZXkK df6b721c8b4d3b6eb44c861d4415007e5a35fc95 VGhpcyBpcyB0aGUgcHJlZml4IGZvciBhIHNlY3VyZSBzdG9yYWdlCg 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 cc2751449a350f668590264ed76692694a80308a VGhpcyBpcyB0aGUga2V5IGZvcihBIHNlY3XyZZBzdG9yYWdlIEFFUyBLZXkK 9b8f518b086098de3d77736f9458a3d2f6f95a37 c56fb7d591ba6704df047fd98f535372fea00211 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a3/b.java, line(s) 181 a3/l.java, line(s) 152,163,168 a3/o.java, line(s) 188 a5/b.java, line(s) 56,67 a6/a.java, line(s) 97,107,119,123 a6/b.java, line(s) 62,77,84 a6/c.java, line(s) 112 b2/a.java, line(s) 7,13,8,14 b4/a.java, line(s) 9,16,23,8,15,22,33,34,40,41 b5/e.java, line(s) 18 b5/p.java, line(s) 18,15 b5/q.java, line(s) 74,106,47,56,120 c/e.java, line(s) 375,379 c2/c.java, line(s) 25 c2/d.java, line(s) 146,135 c3/g.java, line(s) 199 c3/j.java, line(s) 189 c3/k.java, line(s) 146,152,286 ca/b.java, line(s) 10,14,28,32 com/baseflow/geolocator/GeolocatorLocationService.java, line(s) 118,128,131,143,148,161,168,173,178,189,216 com/baseflow/geolocator/b.java, line(s) 49 com/baseflow/geolocator/j.java, line(s) 246,234 com/baseflow/geolocator/m.java, line(s) 132,37,40,75,83,87,121 com/dexterous/flutterlocalnotifications/ActionBroadcastReceiver.java, line(s) 66,75 com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 1102,1160 com/dexterous/flutterlocalnotifications/ScheduledNotificationReceiver.java, line(s) 34 com/it_nomads/fluttersecurestorage/ciphers/h.java, line(s) 33 com/lyokone/location/FlutterLocationService.java, line(s) 100,107,110,174,181,190,232 com/lyokone/location/a.java, line(s) 226 com/lyokone/location/b.java, line(s) 29,37 com/lyokone/location/c.java, line(s) 137,126 com/lyokone/location/d.java, line(s) 52,41 com/mr/flutter/plugin/filepicker/b.java, line(s) 279,297,324,330 com/mr/flutter/plugin/filepicker/c.java, line(s) 165,293,35,107,223,227,232,289,240,160 com/pairip/licensecheck/LicenseActivity.java, line(s) 93,71 com/pairip/licensecheck/LicenseClient.java, line(s) 78,91,122,139,169,197,188,113 com/yalantis/ucrop/UCropActivity.java, line(s) 535 com/yalantis/ucrop/view/b.java, line(s) 176,71,257 d1/c.java, line(s) 96,117,111 e0/a0.java, line(s) 288,578 e5/f.java, line(s) 25 f3/a.java, line(s) 92 f7/b.java, line(s) 59,76 g0/d.java, line(s) 139 g1/c.java, line(s) 55 g2/j.java, line(s) 61,149 g7/c.java, line(s) 96,99,121,129,130,151,157 g9/a.java, line(s) 59,77,89,137 g9/e.java, line(s) 246,112 h1/a.java, line(s) 167,172,179,183,199,209 h2/b.java, line(s) 115,125,145 i9/a.java, line(s) 13,35 i9/b.java, line(s) 32 ib/a.java, line(s) 14 j2/a.java, line(s) 20 j2/p.java, line(s) 55,81,84,116,122,130,213 j2/r.java, line(s) 76,80,85 j2/t.java, line(s) 60 j3/f0.java, line(s) 92 j3/m0.java, line(s) 782,793,804 j3/n0.java, line(s) 92 j3/w.java, line(s) 179 j4/o.java, line(s) 152,159 j6/f.java, line(s) 168,239,243,255 kb/a.java, line(s) 67 kb/d0.java, line(s) 1324 l0/d.java, line(s) 60 l2/e.java, line(s) 42 l2/q.java, line(s) 586,530,540,903 l5/i0.java, line(s) 22,78,60,90,40 l9/a.java, line(s) 109 lb/i.java, line(s) 13,27,39 m5/e.java, line(s) 63 m9/b0.java, line(s) 81,99,162,177,228,241,247,264,269,336,345,405,85,340 m9/d0.java, line(s) 31 m9/i.java, line(s) 157,207,280,357,397,467,573,380 n1/b.java, line(s) 78 n3/c.java, line(s) 114 o1/m0.java, line(s) 44 o5/a.java, line(s) 62,66 o6/c.java, line(s) 87,88,110,125,79 o6/e2.java, line(s) 87,161 o6/h0.java, line(s) 30 o6/i0.java, line(s) 37 o6/j1.java, line(s) 42 o6/k1.java, line(s) 19 o6/l1.java, line(s) 36 o6/m0.java, line(s) 77 o6/r0.java, line(s) 26,44,18,19 o6/s0.java, line(s) 31,32 o6/x1.java, line(s) 36,52,63,72,81 o6/y0.java, line(s) 27,28 o6/z0.java, line(s) 41,42 p5/a.java, line(s) 120,210,157,224 p6/f.java, line(s) 35,42,45,54,88 p6/n.java, line(s) 131 q0/d.java, line(s) 72 q2/c.java, line(s) 26 q2/f.java, line(s) 65 q2/m.java, line(s) 221 q2/t0.java, line(s) 152,168 q4/f.java, line(s) 35 s3/b.java, line(s) 99 s4/b.java, line(s) 37,50,132,135 s4/b0.java, line(s) 49,48 s4/c.java, line(s) 91,104,125,165,180,296,90,103,124,164,179,295,121,137,149,187,208,249 s4/c0.java, line(s) 47,29,68 s4/j.java, line(s) 15,12 s4/v.java, line(s) 36,73,136,35,72,86,135,180,209,238,271,87,181,210,239,272,42,170 s4/w.java, line(s) 23 s4/y.java, line(s) 29,36,28,35 s9/a.java, line(s) 167,134 s9/b.java, line(s) 76,115,181,187,196,204,235,238 t1/a.java, line(s) 19 t2/l.java, line(s) 147,157,165,250,299,310,331,353 t3/e0.java, line(s) 408 t3/f0.java, line(s) 146 t3/y.java, line(s) 161 t4/e.java, line(s) 125,171,178 t4/j.java, line(s) 38,106,51,89,149,155,164,167 t4/k.java, line(s) 35,63 t4/o.java, line(s) 25 t4/v.java, line(s) 41 t4/z.java, line(s) 23 t9/a.java, line(s) 49,97,111 t9/c.java, line(s) 40 t9/f.java, line(s) 122,135,142,149,158,169,176,183,194,244,254,266,282,287,300,305,243,253,265,281,286,299,304 u/p0.java, line(s) 12,19,26,33,40,49,67,74 u2/e.java, line(s) 54 u2/f.java, line(s) 146,170 w/r0.java, line(s) 133,135,139,143,148 w4/a.java, line(s) 45,50,54,37,65,74,79,83,87 x2/b.java, line(s) 64,79,135,148,245,275,287 y2/a.java, line(s) 48,63,175,187,251 y3/k.java, line(s) 37,66,73,76,93,98,103,108,113
安全提示信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: g3/b.java, line(s) 89,89 p2/e0.java, line(s) 15,15 t3/e0.java, line(s) 166,166
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/1057996800161/namespaces/firebase:fetch?key=AIzaSyAkfLaLEz4sf9nodnmOF0OL1psL4OlM_lE ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
CAARD v1.1.19
Android APK
43
综合安全评分
中风险