移动应用安全检测报告: 青铁建设 v1.3.73

安全基线评分


安全基线评分 37/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

2

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 8
中危安全漏洞 25
安全提示信息 1
已通过安全项 0
重点安全关注 0

高危安全漏洞 检测到调试证书签名 

检测到应用使用调试证书签名。请勿在生产环境中使用调试证书。

高危安全漏洞 Activity (io.dcloud.PandoraEntry) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (cn.jpush.android.ui.PopWinActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (cn.jpush.android.ui.PushActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (cn.jpush.android.service.JNotifyActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (cn.jiguang.uniplugin_jpush.OpenClickActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 Activity (cn.android.service.JTransitActivity) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

高危安全漏洞 启用了调试配置。生产版本不能是可调试的 

启用了调试配置。生产版本不能是可调试的
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/carmelo/library/BuildConfig.java, line(s) 3,5

中危安全漏洞 应用已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护,但应检查权限保护级别。 

Permission: com.push.permission.UPSTAGESERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (com.skyui.push.sdk.PushReceiver) 受权限保护,但应检查权限保护级别。 

Permission: com.skyui.permission.PUSH_RECEIVE [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Activity (cn.jpush.android.ui.PopWinActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (cn.jpush.android.ui.PushActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (cn.jpush.android.service.JNotifyActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护,但应检查权限保护级别。 

Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (cn.jpush.android.service.PluginXiaomiPlatformsReceiver) 未受保护。 

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Broadcast Receiver (cn.jpush.android.service.PluginMeizuPlatformsReceiver) 受权限保护,但应检查权限保护级别。 

Permission: com.meizu.flyme.permission.PUSH [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Service (cn.jpush.android.service.PluginOppoPushService) 受权限保护,但应检查权限保护级别。 

Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护,但应检查权限保护级别。 

Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Activity (cn.jiguang.uniplugin_jpush.OpenClickActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (cn.android.service.JTransitActivity) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未受保护。 

[android:exported=true]
检测到  Service 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未受保护。 

[android:exported=true]
检测到  Content Provider 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 高优先级 Intent(1000) - {1} 个命中 

[android:priority]
通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/github/faucamp/simplertmp/packets/Handshake.java, line(s) 9
com/hjq/permissions/PermissionFragment.java, line(s) 14

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/nostra13/dcloudimageloader/cache/disc/naming/Md5FileNameGenerator.java, line(s) 14

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 25
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 33

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/carmelo/library/utils/Utils.java, line(s) 96,185
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 22,23,25,50,110
com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,44,44,53

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/hjq/permissions/StartActivityManager.java, line(s) 9
com/tencent/qphone/base/util/QLog.java, line(s) 11

中危安全漏洞 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
DCLOUD的 "APPID" : "__UNI__E057851"
DCLOUD的 "AD_ID" : "123119290510"
vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI"
DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "uni.UNI0CECCC1|__UNI__E057851|123119290510|"
极光推送的=> "JPUSH_APPKEY" : "672f9e15b97504b9a4aaf922"
DCLOUD的 "ApplicationId" : "uni.UNI0CECCC1"
"security_public_key" : "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8hzUojzHX8jDL+97pqr7CaLiKSsZ0aOES7FUcX7vh9PoEDbCKNCTakRXdS5EiurPk3QpvsAGbfyIs7JWKm4py9KcIdJsZRh9onknVeAVlU++jnrGFGEYfQb8iKzClN059gYeeJBs9mwi7RGU9tj0KHUG659v5sMBxv7zNse3fJQIDAQAB"
"dcloud_permissions_reauthorization" : "reauthorize"
9A04F079-9840-4286-AB92-E65BE0885F95
A2B55680-6F43-11E0-9A3F-0002A5D5C51B
0e28a6ed488466b31920091c00feb63f1

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69
androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 77,85,168,197
androidtranscoder/engine/QueuedMuxer.java, line(s) 95,97,105
androidtranscoder/engine/TextureRender.java, line(s) 49,61,62,77,81,99
androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 23
com/bun/miitmdid/core/MdidSdkHelper.java, line(s) 59,65
com/bun/miitmdid/core/Utils.java, line(s) 72,75,35,41,46
com/carmelo/library/UtilsServices.java, line(s) 83,63,207,213,219,222,108
com/carmelo/library/api/LocationApi.java, line(s) 67,113,119,126,135,139,144,153
com/carmelo/library/utils/LocationUtils.java, line(s) 37,60,66,73,82,86,91,100
com/carmelo/library/utils/Utils.java, line(s) 266,286
com/coremedia/iso/boxes/sampleentry/VisualSampleEntry.java, line(s) 107
com/dmcbig/mediapicker/PreviewActivity.java, line(s) 256
com/github/faucamp/simplertmp/Crypto.java, line(s) 17,19,28,38
com/github/faucamp/simplertmp/amf/AmfString.java, line(s) 94,105
com/github/faucamp/simplertmp/io/RtmpConnection.java, line(s) 111,120,122,127,153,205,213,221,251,270,314,344,506,516,522,591,602,610,614,621,625,630,346,482,485,534,537,641,509,528,617
com/github/faucamp/simplertmp/io/RtmpDecoder.java, line(s) 42
com/github/faucamp/simplertmp/packets/Handshake.java, line(s) 21,26,37,38,42,43,54,56,58,63,65,67,72,79,91,95,105,138
com/seu/magicfilter/utils/DCOpenGLUtil.java, line(s) 126,131,140,157
com/skyui/push/sdk/SkyPushLogger.java, line(s) 21,15
com/tencent/ijk/media/exo/demo/EventLogger.java, line(s) 79,83,87,91,97,100,103,107,110,112,124,127,138,144,147,151,161,164,170,180,188,193,197,201,203,207,209,213,217,221,225,229,237,241,245,249,253,257,265,269,273,317,330,333,336,339,342,345,347,350,116,322
com/tencent/ijk/media/player/IjkMediaCodecInfo.java, line(s) 196,198
com/tencent/ijk/media/player/IjkMediaPlayer.java, line(s) 946,950,816,847,825,941,953,975,325,465,855,972
com/tencent/ijk/media/player/pragma/DebugLog.java, line(s) 50,54,58,14,18,22,26,30,34,62,66,70,38,42,46
com/tencent/qphone/base/util/QLog.java, line(s) 69,73,45,61,65,53,57
master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56
net/ossrs/yasea/SrsEncoder.java, line(s) 144,149,171,181,526,544,551,553
net/ossrs/yasea/SrsFlvMuxer.java, line(s) 469,70,74,87,155,665,166
net/ossrs/yasea/SrsMp4Muxer.java, line(s) 361,182
tv/cjump/jni/DeviceUtils.java, line(s) 64
tv/cjump/jni/NativeBitmapFactory.java, line(s) 70,125

综合安全基线评分: ( 青铁建设 1.3.73)