导航菜单
登录 注册

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

Unscrew Screw Jam v1.6

Android APK ca411dcd...
39
安全评分

安全基线评分

39/100

中风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在较高安全风险,需要重点关注

漏洞与安全项分布

3 高危
11 中危
1 信息
0 安全

隐私风险评估

4
第三方跟踪器

中等隐私风险
检测到少量第三方跟踪器


检测结果分布

高危安全漏洞 3
中危安全漏洞 11
安全提示信息 1
已通过安全项 0
重点安全关注 1

高危安全漏洞 已启用远程WebView调试 

已启用远程WebView调试
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/applovin/impl/adview/AppLovinWebViewBase.java, line(s) 24,5
com/applovin/impl/adview/l.java, line(s) 30,6

高危安全漏洞 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/unity/purchasing/BuildConfig.java, line(s) 3,5

高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/applovin/impl/adview/a.java, line(s) 237,628,15
com/applovin/impl/vm.java, line(s) 41,4

中危安全漏洞 应用数据存在泄露风险 

未设置[android:allowBackup]标志
建议将 [android:allowBackup] 显式设置为 false。默认值为 true,允许通过 adb 工具备份应用数据,存在数据泄露风险。

中危安全漏洞 Activity (com.unity3d.player.UnityPlayerGameActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。 

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/applovin/impl/sdk/AppLovinSdkInitializationConfigurationImpl.java, line(s) 190,150
com/applovin/impl/sdk/j.java, line(s) 1033
com/applovin/mediation/AppLovinUtils.java, line(s) 24
com/applovin/mediation/MaxSegment.java, line(s) 37
com/applovin/mediation/ads/MaxAdView.java, line(s) 129,119
com/applovin/mediation/ads/MaxAppOpenAd.java, line(s) 64,54
com/applovin/mediation/ads/MaxInterstitialAd.java, line(s) 75,65
com/applovin/mediation/ads/MaxRewardedAd.java, line(s) 86,76
com/applovin/mediation/ads/MaxRewardedInterstitialAd.java, line(s) 70,60
com/applovin/mediation/nativeAds/MaxNativeAdLoader.java, line(s) 71,66
com/applovin/sdk/AppLovinSdk.java, line(s) 210
com/applovin/sdk/AppLovinSdkSettings.java, line(s) 142
com/applovin/sdk/AppLovinWebViewActivity.java, line(s) 25
com/unity/androidnotifications/UnityNotificationManager.java, line(s) 55,57
com/unity/androidnotifications/UnityNotificationUtilities.java, line(s) 29,28

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/applovin/impl/adview/l.java, line(s) 28,24

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/applovin/impl/mq.java, line(s) 16
com/applovin/impl/wj.java, line(s) 4
com/applovin/impl/yp.java, line(s) 55
com/unity/androidnotifications/UnityNotificationManager.java, line(s) 32

中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/applovin/impl/sdk/utils/StringUtils.java, line(s) 42
com/applovin/impl/vi.java, line(s) 383

中危安全漏洞 IP地址泄露 

IP地址泄露


Files:
com/applovin/impl/ze.java, line(s) 94,96,91,95,85,100,88,89,93,84,102,97,99,101,98,87,90,104,103,92,86
com/applovin/mediation/BuildConfig.java, line(s) 4

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-3864133689583158~6533037222"
Google_Drive_API_Key: AIzaSyALBOGxfJ9sCafurPEWkg3C51VmYb1jVA0
HSrCHRtOan6wp2kwOIGJC1RDtuSrF2mWVbio2aBcMHX9KF3iTJ1lLSzCKP1ZSo5yNolPNw1kCTtWpxELFF4ah1

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
bitter/jnibridge/a.java, line(s) 36,56
com/applovin/impl/oc.java, line(s) 74,51,27,13
com/applovin/impl/pg.java, line(s) 42,48,54
com/applovin/impl/sdk/n.java, line(s) 34,123,24,127,44,70,50,107
com/iab/omid/library/applovin/publisher/b.java, line(s) 30,32
com/iab/omid/library/applovin/utils/d.java, line(s) 25,11,18
com/lofelt/haptics/LofeltHaptics.java, line(s) 33,36,42,52,58
com/unity/androidnotifications/UnityNotificationBackgroundThread.java, line(s) 174
com/unity/androidnotifications/UnityNotificationManager.java, line(s) 406,614,623,723,647
com/unity/androidnotifications/UnityNotificationRestartReceiver.java, line(s) 20,53,59
com/unity/androidnotifications/UnityNotificationUtilities.java, line(s) 77,93,96,144,169,172,225,228,332,336,344,349,385,387,401,407,438,442,445,467,469,404
org/fmod/FMODAudioDevice.java, line(s) 68
org/fmod/a.java, line(s) 76

重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.googletagmanager.com) 通信。 

{'ip': '180.163.150.41', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

综合安全基线评分总结

应用图标

Unscrew Screw Jam v1.6

Android APK
39
综合安全评分
高风险