安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
3
中危
23
信息
1
安全
1
关注
0
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/pichillilorenzo/flutter_inappwebview/in_app_browser/InAppBrowserActivity.java, line(s) 391,17,18 com/pichillilorenzo/flutter_inappwebview/webview/WebViewChannelDelegate.java, line(s) 815,5 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/FlutterWebView.java, line(s) 174,11,12
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/onesignal/n4.java, line(s) 523,12
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/appsflyer/internal/AFb1zSDK.java, line(s) 979
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (dev.fluttercommunity.plus.share.SharePlusPendingIntent) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.onesignal.FCMBroadcastReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.onesignal.NotificationOpenedActivityHMS) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.onesignal.NotificationDismissReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.onesignal.BootUpReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.onesignal.UpgradeReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.onesignal.NotificationOpenedReceiver) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.onesignal.NotificationOpenedReceiverAndroid22AndOlder) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 高优先级的Intent (999)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/appsflyer/internal/AFa1wSDK.java, line(s) 15 com/appsflyer/internal/AFb1jSDK.java, line(s) 14 com/onesignal/OSUtils.java, line(s) 27 f6/a.java, line(s) 3 f6/b.java, line(s) 3 g6/a.java, line(s) 3
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/onesignal/j3.java, line(s) 6,7,8,9,10,474 com/pichillilorenzo/flutter_inappwebview/credential_database/CredentialDatabaseHelper.java, line(s) 4,5,18 m0/a.java, line(s) 4,5,6,7,62 m4/k.java, line(s) 3,4,13 q4/i.java, line(s) 7,8,9,10,11,202 r1/m0.java, line(s) 5,6,67 r1/t0.java, line(s) 4,5,135
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/appsflyer/appsflyersdk/AppsFlyerConstants.java, line(s) 7 com/onesignal/e4.java, line(s) 325 com/onesignal/h1.java, line(s) 22 com/onesignal/p1.java, line(s) 727 com/pichillilorenzo/flutter_inappwebview/credential_database/URLCredentialContract.java, line(s) 8,10 com/pichillilorenzo/flutter_inappwebview/types/ClientCertResponse.java, line(s) 89 com/pichillilorenzo/flutter_inappwebview/types/HttpAuthResponse.java, line(s) 81 com/pichillilorenzo/flutter_inappwebview/types/URLCredential.java, line(s) 91
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/pichillilorenzo/flutter_inappwebview/webview/util/FileUtil.java, line(s) 24 r5/g.java, line(s) 126,148 r5/i.java, line(s) 98
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/pichillilorenzo/flutter_inappwebview/webview/util/FileUtil.java, line(s) 51 z3/c.java, line(s) 80
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/AFb1vSDK.java, line(s) 228 z3/b.java, line(s) 55
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/AFb1vSDK.java, line(s) 25
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/onesignal/n4.java, line(s) 439,438
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyB5_9Wp_4XCPPAUZOO9mU6J7ur9yC8GP5s" "google_crash_reporting_api_key" : "AIzaSyB5_9Wp_4XCPPAUZOO9mU6J7ur9yC8GP5s" c682b8144a8dd52bc1ad63 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 5eb5a37e-b458-11e3-ac11-000c2940e62c b2f7f966-d8cc-11e4-bed1-df8f05be55ba 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a2/e.java, line(s) 110,156,163 a2/e0.java, line(s) 40,43,57 a2/i.java, line(s) 107,52,90,150,156,165,168 a2/j.java, line(s) 45,124 a2/j0.java, line(s) 58,60,54 a2/m.java, line(s) 29 a2/v.java, line(s) 49 a2/z.java, line(s) 70,88,92,120,127,53 a3/a.java, line(s) 122,184,187,255,202,269 a4/c.java, line(s) 95,98,120,128,129,150,156 b2/h.java, line(s) 20 c2/f0.java, line(s) 50 com/appsflyer/AFLogger.java, line(s) 34,48,131,129,80,89,41 com/appsflyer/appsflyersdk/AppsflyerSdkPlugin.java, line(s) 365 com/appsflyer/internal/AFa1cSDK.java, line(s) 148,151,200 com/appsflyer/internal/AFa1sSDK.java, line(s) 47,156 com/appsflyer/internal/AFb1zSDK.java, line(s) 3267 com/appsflyer/internal/AFc1eSDK.java, line(s) 45,93,26 com/appsflyer/internal/AFc1gSDK.java, line(s) 143,143,112,140,141,182,139,139 com/appsflyer/internal/AFc1vSDK.java, line(s) 59 com/appsflyer/internal/AFd1aSDK.java, line(s) 91,118 com/appsflyer/internal/AFd1cSDK.java, line(s) 37,40,41 com/appsflyer/internal/AFd1lSDK.java, line(s) 35,202 com/appsflyer/internal/AFd1qSDK.java, line(s) 36,37 com/appsflyer/internal/AFd1rSDK.java, line(s) 76,92,109,131,146,165,189,208 com/appsflyer/internal/AFd1vSDK.java, line(s) 51,105 com/appsflyer/internal/AFd1wSDK.java, line(s) 25 com/appsflyer/internal/AFd1xSDK.java, line(s) 30,31 com/appsflyer/internal/AFd1zSDK.java, line(s) 44 com/onesignal/JobIntentService.java, line(s) 203,208,246 com/onesignal/c3.java, line(s) 1992,1998,2014,1994,1990,1996 com/onesignal/f.java, line(s) 12 com/onesignal/flutter/f.java, line(s) 231 com/pichillilorenzo/flutter_inappwebview/Util.java, line(s) 235,190,208,217,274 com/pichillilorenzo/flutter_inappwebview/chrome_custom_tabs/CustomTabsHelper.java, line(s) 84 com/pichillilorenzo/flutter_inappwebview/in_app_browser/InAppBrowserActivity.java, line(s) 294,387 com/pichillilorenzo/flutter_inappwebview/in_app_browser/InAppBrowserManager.java, line(s) 154 com/pichillilorenzo/flutter_inappwebview/webview/JavaScriptBridgeInterface.java, line(s) 61,111 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/DisplayListenerProxy.java, line(s) 40 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/FlutterWebView.java, line(s) 169 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InAppWebView.java, line(s) 390,406,409,1511 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InAppWebViewChromeClient.java, line(s) 1300,1312,1345,1357,773,813,891,948,1005,1070,1109,1179 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InAppWebViewClient.java, line(s) 137,232,284,397,460,543,596,656 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InAppWebViewClientCompat.java, line(s) 138,233,285,397,460,543,596,664 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InAppWebViewRenderProcessClient.java, line(s) 33,74 com/pichillilorenzo/flutter_inappwebview/webview/in_app_webview/InputAwareWebView.java, line(s) 60,68,76,101,148 d0/a.java, line(s) 31 d2/a.java, line(s) 18 d2/a0.java, line(s) 98,101,105,109,113,117,129,133,136,139,171,176 d2/b1.java, line(s) 45 d2/c.java, line(s) 213,231,463,467,471,477 d2/d0.java, line(s) 26 d2/h0.java, line(s) 121,141,157,169 d2/h1.java, line(s) 53,58 d2/k1.java, line(s) 50 d2/u0.java, line(s) 35 d2/x0.java, line(s) 101 d2/y0.java, line(s) 28 d2/z0.java, line(s) 20 d3/i.java, line(s) 31,22,38,45,30,37,44,51,52,58,59 e1/a.java, line(s) 17 e1/n.java, line(s) 49,69,73,198,206,212,220 e1/o.java, line(s) 263,267,272 e1/p.java, line(s) 55 g2/a.java, line(s) 57,68 g3/e.java, line(s) 171,241,245,257 h2/h.java, line(s) 16 h2/p.java, line(s) 17,16 h2/q.java, line(s) 173,64,71,146,155 k1/k.java, line(s) 36,65,72,75,92,97,102,107,112 k2/h.java, line(s) 25 l0/c.java, line(s) 41,29,33 l2/b.java, line(s) 36,100 l3/g.java, line(s) 34,41,44,53,87 l3/o.java, line(s) 128 n1/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 o4/c.java, line(s) 68 p0/a.java, line(s) 81 q4/c0.java, line(s) 83,101,164,179,230,243,249,266,271,338,347,407,87,342 q4/e0.java, line(s) 24 q4/i.java, line(s) 147,208,216,260,333,410,450,507,638,231,433 r0/p.java, line(s) 30,107,112,179,187 r5/i.java, line(s) 143 s5/a.java, line(s) 61,50 s5/b.java, line(s) 35,38 s5/c.java, line(s) 15,33,48 t0/j.java, line(s) 24,26,35,37,46,48,57,59,68,70 t2/e.java, line(s) 39,64,74 t4/d.java, line(s) 115,123,129,27,32,42,48,49,51,71,83,92,106,121,137,146,157,197,54,75,86 u2/e0.java, line(s) 25,58,34 v/c.java, line(s) 140 v2/d.java, line(s) 63 w1/a.java, line(s) 125,161 w1/d.java, line(s) 23,41,50,60 w4/b.java, line(s) 10,14,28,32 y/a.java, line(s) 415 z1/b.java, line(s) 63,76,52 z1/d.java, line(s) 86,99,124,172,187,282,84,98,123,167,186,277,120,136,148,194,215,256 z1/h.java, line(s) 15,12,12 z1/r.java, line(s) 40,81,141,36,79,94,136,185,209,234,265,95,186,210,235,266,48,176 z1/s.java, line(s) 25 z1/u.java, line(s) 35,49,27,41 z1/x.java, line(s) 63,58 z1/y.java, line(s) 53,36,73 z2/a.java, line(s) 73,84,88,103 z3/b.java, line(s) 59,76
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: d3/w.java, line(s) 24