导航菜单
登录 注册

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

NekoBox v1.3.8

Android APK 9b589a81...
51
安全评分

安全基线评分

51/100

低风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

1 高危
14 中危
2 信息
1 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 1
中危安全漏洞 14
安全提示信息 2
已通过安全项 1
重点安全关注 1

高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

中危安全漏洞 应用数据允许备份 

[android:allowBackup=true]
该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。

中危安全漏洞 Activity (io.nekohasekai.sagernet.QuickToggleShortcut) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (io.nekohasekai.sagernet.bg.TileService) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.BIND_QUICK_SETTINGS_TILE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (io.nekohasekai.sagernet.BootReceiver) 未受保护。 

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
io/nekohasekai/sagernet/Key.java, line(s) 92,88,102
io/nekohasekai/sagernet/fmt/ConfigBuilderKt.java, line(s) 22
io/nekohasekai/sagernet/fmt/ssh/SSHBean.java, line(s) 56
io/nekohasekai/sagernet/utils/Cloudflare.java, line(s) 23
io/nekohasekai/sagernet/utils/cf/DeviceResponse.java, line(s) 1057,638
moe/matsuri/nb4a/proxy/config/ConfigSettingActivity.java, line(s) 19

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
io/nekohasekai/sagernet/bg/VpnService.java, line(s) 261,48,49,47
io/nekohasekai/sagernet/fmt/ConfigBuilderKt.java, line(s) 20

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
io/nekohasekai/sagernet/SagerNet.java, line(s) 213
io/nekohasekai/sagernet/ui/AssetsActivity.java, line(s) 82

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
moe/matsuri/nb4a/utils/SendLog.java, line(s) 54

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
moe/matsuri/nb4a/proxy/neko/NekoJSInterface.java, line(s) 325,324

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
j$/util/concurrent/ThreadLocalRandom.java, line(s) 11

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"password" : "Password"
"route_bypass" : "Bypass"
"ssh_auth_type_none" : "None"
"username" : "Username"
"route_bypass" : "Bypass"
"ssh_auth_type_none" : "Kosong"
"ssh_auth_type_none" : "Aucun"
"password" : "Parola"
"route_bypass" : "Atlat"
"route_bypass" : "Omitir"
"ssh_auth_type_none" : "Ninguna"
"hysteria_auth_payload" : "Identitetbekreftelses-nyttelast"
"hysteria_auth_type" : "Identitetbekreftelsestype"
"password" : "Passord"
"ssh_auth_type_none" : "Ingen"
"username" : "Brukernavn"
a79ada0ab5ab3b894f420add507b1e8f
1dbf667053726c13d139a4d83c41f895
f1aab1fb633378621635c344dbc8ac7b
b4884880479b3ec07ec5136206e4acfd

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
io/nekohasekai/sagernet/SagerNet.java, line(s) 11,158
moe/matsuri/nb4a/utils/NGUtil.java, line(s) 4,203

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/github/shadowsocks/plugin/fragment/AlertDialogFragment.java, line(s) 75,76
io/nekohasekai/sagernet/ui/ScannerActivity.java, line(s) 185,227,340,112
io/nekohasekai/sagernet/utils/CrashHandler.java, line(s) 164
io/nekohasekai/sagernet/utils/Theme.java, line(s) 59

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (neko-box.pages.dev) 通信。 

{'ip': '221.228.32.13', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}

综合安全基线评分总结

应用图标

NekoBox v1.3.8

Android APK
51
综合安全评分
中风险