安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
4
中危
21
信息
1
安全
2
关注
0
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.oavtbvxpm) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (smtkbkh.czwak.yosora.mhsjge.pigeb) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.tugeflzirrhisz$MyReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.emrtfathjdakgv) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.emwpejguuv) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.qichjivvsrjlnzw) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.SEND_RESPOND_VIA_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity设置了TaskAffinity属性
(olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.icevdagmtujjk) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity-Alias (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.uysoihunrqkcby) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.awgixkzl) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity设置了TaskAffinity属性
(olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.uqwojzablgfofcs.nwckokxaypjoex) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(olmpmvfnrsastn.mommliidi.jnhhycgcerqyc.kkfnueqxnksog) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (smtkbkh.czwak.yosora.wxsryvz.yeczph) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (smtkbkh.czwak.yosora.wecakufj.rqfdgf) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (smtkbkh.czwak.yosora.wxsryvz.reofjnwg) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (smtkbkh.czwak.yosora.uimfizc.wptep) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (999) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/kkfnueqxnksog.java, line(s) 76,59
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/kkfnueqxnksog.java, line(s) 66,59
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: hsoepucwpjf/shwomfqtn.java, line(s) 20 hsoepucwpjf/sqjsowdgbsn/itxjplryv/akfcezpoh.java, line(s) 29 hsoepucwpjf/sqjsowdgbsn/itxjplryv/ehkuubwvsa.java, line(s) 5 rdmboxohxti/akfcezpoh/akfcezpoh/cvaoazuiqh.java, line(s) 5 upfagfhs/akfcezpoh/mqefgyxod/ouateotj.java, line(s) 18
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: ehkuubwvsa/akfcezpoh/akfcezpoh/hsoepucwpjf/myjwpbur.java, line(s) 4,5,27,44,45 myjwpbur/ehkuubwvsa/akfcezpoh/akfcezpoh/akfcezpoh.java, line(s) 6,7,103
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "tray__authority" : "legacyTrayAuthority" IgMXGQEaB0FHXVFTXDkGAgkfGgVGICZTV11FVU87IidbQl1OAAVbQUdAX0VNNwgVDQFdQVFCRF5eXFxQKx8UCxQcGVxGXUFc BQ0bER4VFAcCB1sAERouDw4fGBgSRlU= iuP8lNLXgO/dVRIGFw0KHx5K ifXDme3sj+7olP7Wks7gSory1JPh1Q== DgIJAgIfAkACFhMeHR0cBQIeQyQjLzYsMTs7ICozPiQsIiM= DgIJAgIfAkACFhMeHR0cBQIeQyQjLTc6NzYrPSI/ BxgZAFdZSRodHQYJHAcDDQNeGRkWQR4cBhxaHgEL DgIJAgIfAkACFhMeHR0cBQIeQyQjLzYsIjw6Oi4vOSM= 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 DgIJAgIfAkACAQ4FHQoKHkMkCBoDHhocDwpaPSI/MiIoNSMnJDYl iefLluXcgfHfl97SUg0DAx4VEQIUGxc= DgIJAgIfAkAbHRUWGhpBDQ4EBBkIQCIyIjg1KSozLDQpMyI= DgIJAgIfAkAbHRUWGhpBDQ4EBBkIQDA8LicrLSAhPTwoIiMq DgIJAgIfAkAbHRUWGhpBDQ4EBBkIQDY2LTYgKw== DgIJAgIfAkACAQ4FHQoKHkMkCBoDHhocDwpaLyw4JD8jKSUmMz0mNisqKiosJSEi DgIJAgIfAkAbHRUWGhpBDQ4EBBkIQCIyIjg1KSozPzUgOTArNg== DgIJAgIfAkACFhMeHR0cBQIeQyQjLzYsMj4n
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: akfcezpoh/anzwjvkxx/ouateotj/hsoepucwpjf.java, line(s) 523 akfcezpoh/edhcimrowpg/akfcezpoh/anzwjvkxx.java, line(s) 1711,1712,1720,1728,2179 akfcezpoh/kbybgpbkpew/censcqhn.java, line(s) 31,57 akfcezpoh/mqefgyxod/akfcezpoh/akfcezpoh/myjwpbur.java, line(s) 139 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/anzwjvkxx.java, line(s) 82 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/cvaoazuiqh.java, line(s) 168,170 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/edhcimrowpg.java, line(s) 115 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/glivzycaqf.java, line(s) 88,90,275 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/hsoepucwpjf.java, line(s) 161,192,237,396 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/itxjplryv.java, line(s) 179,183,187 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/mjfpocyqumo.java, line(s) 407,421,436,458,472,488,677,1851 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/mqefgyxod.java, line(s) 162,164 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/myjwpbur.java, line(s) 81,364 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/rdmboxohxti.java, line(s) 31,57 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/upfagfhs.java, line(s) 114,119 akfcezpoh/mqefgyxod/akfcezpoh/ouateotj/yfkitinrri.java, line(s) 363,390,480,575,735,835,187,204,106,303,352,464 akfcezpoh/mqefgyxod/myjwpbur/akfcezpoh.java, line(s) 143,146,147,152,156,264,270 akfcezpoh/mqefgyxod/myjwpbur/myjwpbur.java, line(s) 805,1699,1156,1323,824,834,1092,1744,1751 akfcezpoh/mqefgyxod/myjwpbur/ouateotj.java, line(s) 220,113,195,262 akfcezpoh/mqefgyxod/myjwpbur/rdmboxohxti.java, line(s) 95,174 akfcezpoh/mqefgyxod/ouateotj/ehkuubwvsa.java, line(s) 728 akfcezpoh/mqefgyxod/ouateotj/wxjqkecfxr/hsoepucwpjf.java, line(s) 780,815 akfcezpoh/orghfgjb/akfcezpoh/akfcezpoh/rdmboxohxti.java, line(s) 198,201,689 akfcezpoh/ouateotj/cvaoazuiqh/awgeudkha.java, line(s) 22,32,45,47,49 akfcezpoh/ouateotj/cvaoazuiqh/edchsdeu.java, line(s) 98,368,427,177,182,247,261,350,389,400 akfcezpoh/ouateotj/cvaoazuiqh/itknrceljef.java, line(s) 33 akfcezpoh/ouateotj/cvaoazuiqh/itxjplryv.java, line(s) 98,107,168,217 akfcezpoh/ouateotj/cvaoazuiqh/kbybgpbkpew.java, line(s) 371,164,169,176,278,354 akfcezpoh/ouateotj/cvaoazuiqh/kklfigoxdu.java, line(s) 281,409 akfcezpoh/ouateotj/cvaoazuiqh/oablpxvoct.java, line(s) 139,255 akfcezpoh/ouateotj/cvaoazuiqh/shwomfqtn.java, line(s) 115,50,69,90,213 akfcezpoh/ouateotj/cvaoazuiqh/updcurnzsj.java, line(s) 139 akfcezpoh/ouateotj/edhcimrowpg/orghfgjb.java, line(s) 37 akfcezpoh/ouateotj/itxjplryv/akfcezpoh/akfcezpoh.java, line(s) 73 akfcezpoh/ouateotj/yfkitinrri/anzwjvkxx/ehkuubwvsa.java, line(s) 429 akfcezpoh/ouateotj/yfkitinrri/anzwjvkxx/rdmboxohxti.java, line(s) 381 akfcezpoh/ouateotj/yfkitinrri/rdmboxohxti.java, line(s) 160,172,182,236,381 akfcezpoh/updcurnzsj/mqefgyxod.java, line(s) 288,125,268 akfcezpoh/updcurnzsj/shwomfqtn/akfcezpoh.java, line(s) 87,116 akfcezpoh/upfagfhs/edhcimrowpg/akfcezpoh.java, line(s) 29 akfcezpoh/upfagfhs/ehkuubwvsa/myjwpbur.java, line(s) 29 akfcezpoh/upfagfhs/ehkuubwvsa/ouateotj.java, line(s) 91 akfcezpoh/upfagfhs/ehkuubwvsa/wxjqkecfxr.java, line(s) 52 akfcezpoh/upfagfhs/itxjplryv/akfcezpoh.java, line(s) 231 akfcezpoh/upfagfhs/itxjplryv/edchsdeu.java, line(s) 393,403,414,423 akfcezpoh/upfagfhs/itxjplryv/kbybgpbkpew.java, line(s) 21,32 akfcezpoh/upfagfhs/itxjplryv/mqefgyxod.java, line(s) 39,55,127,177,213,250,272 akfcezpoh/upfagfhs/itxjplryv/ouateotj.java, line(s) 34 akfcezpoh/upfagfhs/itxjplryv/updcurnzsj.java, line(s) 201 akfcezpoh/upfagfhs/mqefgyxod/anzwjvkxx.java, line(s) 65,68 akfcezpoh/upfagfhs/mqefgyxod/ehkuubwvsa.java, line(s) 29 akfcezpoh/upfagfhs/mqefgyxod/hsoepucwpjf.java, line(s) 50 akfcezpoh/upfagfhs/mqefgyxod/itxjplryv/ehkuubwvsa.java, line(s) 40,53 akfcezpoh/upfagfhs/mqefgyxod/mqefgyxod.java, line(s) 45 akfcezpoh/upfagfhs/mqefgyxod/myjwpbur.java, line(s) 58,63 akfcezpoh/upfagfhs/mqefgyxod/rdmboxohxti.java, line(s) 52,227 akfcezpoh/upfagfhs/upfagfhs/akfcezpoh.java, line(s) 17 akfcezpoh/wxjqkecfxr/akfcezpoh/ouateotj.java, line(s) 36 ehkuubwvsa/akfcezpoh/akfcezpoh/ehkuubwvsa/mqefgyxod.java, line(s) 7,14,22 ehkuubwvsa/akfcezpoh/akfcezpoh/hsoepucwpjf/akfcezpoh.java, line(s) 73 ehkuubwvsa/akfcezpoh/akfcezpoh/hsoepucwpjf/ouateotj.java, line(s) 22 hsoepucwpjf/sqjsowdgbsn/itxjplryv/akfcezpoh.java, line(s) 466,286,617 hsoepucwpjf/sqjsowdgbsn/itxjplryv/myjwpbur.java, line(s) 107,112 myjwpbur/ehkuubwvsa/akfcezpoh/hsoepucwpjf/akfcezpoh.java, line(s) 60,130 myjwpbur/myjwpbur/akfcezpoh/akfcezpoh/censcqhn/ouateotj.java, line(s) 146 myjwpbur/myjwpbur/akfcezpoh/akfcezpoh/gudzjphfe/ouateotj.java, line(s) 81 myjwpbur/myjwpbur/akfcezpoh/akfcezpoh/mjfpocyqumo/rdmboxohxti.java, line(s) 77 myjwpbur/myjwpbur/akfcezpoh/akfcezpoh/oablpxvoct/upfagfhs.java, line(s) 461 myjwpbur/myjwpbur/akfcezpoh/akfcezpoh/uqxgwiseha/akfcezpoh.java, line(s) 275 olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/awgixkzl.java, line(s) 15 olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/emrtfathjdakgv.java, line(s) 28,54,59 olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/tugeflzirrhisz.java, line(s) 369,381,560,119,165,175,177,195,209,212,220,228,230,246,254,267,292,329,337,353,479,483,491,495,578,644,646,650,662 olmpmvfnrsastn/mommliidi/jnhhycgcerqyc/uqwojzablgfofcs/nwckokxaypjoex.java, line(s) 67,69,76,104 rdmboxohxti/akfcezpoh/akfcezpoh/anzwjvkxx.java, line(s) 20 rdmboxohxti/akfcezpoh/akfcezpoh/cvaoazuiqh.java, line(s) 19,21,31 rdmboxohxti/akfcezpoh/akfcezpoh/itxjplryv.java, line(s) 12,23,26,32 rdmboxohxti/akfcezpoh/akfcezpoh/mjfpocyqumo.java, line(s) 20,22,29,35,43 rdmboxohxti/akfcezpoh/akfcezpoh/qznvvtgh.java, line(s) 27 rdmboxohxti/akfcezpoh/akfcezpoh/updcurnzsj.java, line(s) 15,32 rdmboxohxti/akfcezpoh/akfcezpoh/wxjqkecfxr/akfcezpoh.java, line(s) 43 rdmboxohxti/akfcezpoh/akfcezpoh/yfkitinrri.java, line(s) 18,20,33 smtkbkh/czwak/yosora/wxsryvz/yeczph.java, line(s) 93,153,166
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: hsoepucwpjf/shwomfqtn.java, line(s) 207,206,214,205,205
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。