应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
ChatUp AI v1.0.28
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
11
中危
2
信息
2
安全
隐私风险评估
7
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
11
安全提示信息
2
已通过安全项
2
重点安全关注
0
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: bolts/WebViewAppLinkResolver.java, line(s) 120,6,7
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Broadcast Receiver (com.adjust.sdk.AdjustReferrerReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: io/grpc/internal/DnsNameResolver.java, line(s) 30 io/grpc/internal/ExponentialBackoffPolicy.java, line(s) 5 io/grpc/internal/PickFirstLoadBalancer.java, line(s) 13 io/grpc/internal/RetriableStream.java, line(s) 23 io/grpc/okhttp/OkHttpClientTransport.java, line(s) 69 io/grpc/util/OutlierDetectionLoadBalancer.java, line(s) 27 io/grpc/util/RoundRobinLoadBalancer.java, line(s) 21 org/jsoup/helper/DataUtil.java, line(s) 16
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: bolts/MeasurementEvent.java, line(s) 19,20 com/adapty/internal/data/cache/CacheKeysKt.java, line(s) 9,17,39,40,41,42,43 com/adapty/internal/data/cloud/RequestFactory.java, line(s) 46 com/adapty/internal/utils/AnalyticsEventTypeAdapter.java, line(s) 31 io/grpc/PersistentHashArrayMappedTrie.java, line(s) 146 io/grpc/internal/DnsNameResolver.java, line(s) 71,69,70,72 io/grpc/internal/PickFirstLoadBalancerProvider.java, line(s) 13 io/grpc/internal/TransportFrameUtil.java, line(s) 32 org/jsoup/helper/W3CDom.java, line(s) 178 org/jsoup/nodes/DocumentType.java, line(s) 12,13,15
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: bolts/WebViewAppLinkResolver.java, line(s) 110,85
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: org/chatupai/historyDatabase/DatabaseHelper.java, line(s) 6,7,88,89,108,109,198,199,229,230,257,258,284,285,321,322,349,350
中危安全漏洞 IP地址泄露
IP地址泄露 Files: io/grpc/okhttp/OkHttpClientTransport.java, line(s) 248 io/grpc/okhttp/OkHttpServerTransport.java, line(s) 603,609,615,700
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: org/chatupai/ui/afterLogin/activities/chatGPTActivity/adapter/MessageAdapter$shareImageInternalStorage$2.java, line(s) 57 org/chatupai/ui/afterLogin/activities/chatGPTActivity/adapter/MessageAdapter$shareImageInternalStorageMore$2.java, line(s) 59 org/chatupai/ui/afterLogin/activities/imagePreview/ImagePreviewActivity$shareImageInternalStorage$2.java, line(s) 53
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "com.google.firebase.crashlytics.mapping_file_id" : "00000000000000000000000000000000" "facebook_app_id" : "448842584732204" "facebook_client_token" : "80be2447522a84a6b554693caca54dd9" "google_api_key" : "AIzaSyCn57ufTAkG2kDX6pcT5UGW1q9AZLoHyIQ" "google_app_id" : "1:356677136002:android:ede995feca5ae885c60e9b" "google_crash_reporting_api_key" : "AIzaSyCn57ufTAkG2kDX6pcT5UGW1q9AZLoHyIQ" 5e8f16062ea3cd2c4a0d547876baa6f38cabf625 cc2751449a350f668590264ed76692694a80308a a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 df6b721c8b4d3b6eb44c861d4415007e5a35fc95 9b8f518b086098de3d77736f9458a3d2f6f95a37
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: bolts/MeasurementEvent.java, line(s) 61,73 com/adapty/internal/utils/DefaultLogHandler.java, line(s) 149,175,85,111,51,77,117,143 com/tbuonomo/viewpagerdotsindicator/DotsIndicator.java, line(s) 82 io/grpc/android/AndroidChannelBuilder.java, line(s) 53,56,60,64,125 io/grpc/okhttp/internal/Platform.java, line(s) 73 org/chatupai/ui/MyApp$getAndroidDeviceId$1.java, line(s) 37 org/chatupai/ui/MyApp.java, line(s) 202,208,236,237,240,261,342,380,403,458 org/chatupai/ui/afterLogin/activities/chatGPTActivity/ChatGPTActivity.java, line(s) 756,757,769,826,841,852,853,914,1535,1538,1561,1563 org/chatupai/ui/afterLogin/activities/homeActivity/HomeActivity.java, line(s) 776,777,781,802,837,914 org/chatupai/ui/afterLogin/activities/settingActivity/SettingActivity.java, line(s) 319 org/chatupai/ui/afterLogin/activities/unlockUnlimitedAccessActivity/UnlockUnlimitedAccessActivity.java, line(s) 368,397,410,423,434,441,448,453,479,484,489,491,499,513,514,519,530,562,574,583,584,585 org/chatupai/utils/SpeechToTextHelper.java, line(s) 106,121 org/chatupai/utils/UtilsKt.java, line(s) 317,326,328
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: org/chatupai/utils/UtilsKt.java, line(s) 6,67,79,68,80
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: io/grpc/okhttp/OkHttpChannelBuilder.java, line(s) 417,418,505,431,478,504,501,503,503 io/grpc/okhttp/OkHttpServerBuilder.java, line(s) 263,264,277 io/grpc/util/AdvancedTlsX509TrustManager.java, line(s) 108,107,98,106,106,125 org/chatupai/retrofit/RetrofitClient.java, line(s) 24,36,24,36
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/356677136002/namespaces/firebase:fetch?key=AIzaSyCn57ufTAkG2kDX6pcT5UGW1q9AZLoHyIQ ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
ChatUp AI v1.0.28
Android APK
52
综合安全评分
中风险