安全分析报告: Lovemix v1.0.8

安全分数


安全分数 56/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 0
中危 10
信息 2
安全 1
关注 0

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (com.google.android.play.core.assetpacks.AssetPackExtractionService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/euromatch/lovemix/MainActivity.java, line(s) 88

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/euromatch/lovemix/MainActivity.java, line(s) 1815

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/euromatch/lovemix/MainActivity.java, line(s) 1775

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/euromatch/lovemix/MainActivity.java, line(s) 603,604,635,598,633

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/euromatch/lovemix/MainActivity.java, line(s) 601,598,633

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"facebook_app_id" : "488150661276493"
"firebase_database_url" : "https://lovemix-bf317.firebaseio.com"
"google_api_key" : "AIzaSyC6F1P83kfdmx_1Gi-uxLuHa12PRaT_y5c"
"google_app_id" : "1:812653253775:android:fa753f67fbda3a68f84cfa"
"google_crash_reporting_api_key" : "AIzaSyC6F1P83kfdmx_1Gi-uxLuHa12PRaT_y5c"
c06c8400-8e06-11e0-9cb6-0002a5d5c51b
0123456789qwertyuiopasdfghjklzxcvbnm
bb392ec0-8d4d-11e0-a896-0002a5d5c51b

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/euromatch/lovemix/EventBus.java, line(s) 24
com/euromatch/lovemix/InternetDetect.java, line(s) 17,19,22
com/euromatch/lovemix/LovemixFirebaseMessagingService.java, line(s) 23
com/euromatch/lovemix/MainActivity.java, line(s) 1790,222,224,235,381,388,390,400,408,429,435,440,445,448,453,458,460,469,546,553,627,702,872,1163,1170,1175,1177,1186,1208,1249,1260,1292,1409,1590,1640,1642,1652,1668,1679,1690,1695,1706,1720,1721,1722,1727,1738,1748,1840
com/euromatch/lovemix/SimplePeer.java, line(s) 162,168,281,291
com/euromatch/lovemix/WebAppInterface.java, line(s) 174,31,41,55,59,63,67,71,74,78,82,86,90,94,98,105,109,113,117,121,125,129,133,137,141,151,155,159,163,170,182

信息 应用与Firebase数据库通信 

该应用与位于 https://lovemix-bf317.firebaseio.com 的 Firebase 数据库进行通信

安全 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/812653253775/namespaces/firebase:fetch?key=AIzaSyC6F1P83kfdmx_1Gi-uxLuHa12PRaT_y5c ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

安全评分: ( Lovemix 1.0.8)