安全分析报告:
安全分数
安全分数 49/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
0
用户/设备跟踪器
调研结果
高危
3
中危
13
信息
1
安全
2
关注
0
高危 域配置不安全地配置为允许明文流量到达范围内的这些域。
Scope: www.google.com
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: o3/s3.java, line(s) 362,11,12
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: l2/h.java, line(s) 73
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (com.example.x2_net.service.QSTileService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_QUICK_SETTINGS_TILE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.example.x2_net.receiver.TaskerReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: i1/g.java, line(s) 340 l3/i.java, line(s) 129,151 l3/j.java, line(s) 142 ravey/C0359e.java, line(s) 73 ravey/C0409fw.java, line(s) 320 u/e.java, line(s) 218
中危 IP地址泄露
IP地址泄露 Files: com/example/x2_net/service/V2RayVpnService.java, line(s) 352,282,342,282,365 i1/g.java, line(s) 131,140,179,82,91 i1/h.java, line(s) 174,176,246,498
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: h4/a.java, line(s) 3 h4/b.java, line(s) 4 i4/a.java, line(s) 4 ravey/C0492iz.java, line(s) 30 ravey/C0708qz.java, line(s) 14
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ravey/uT.java, line(s) 83
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/example/x2_net/dto/V2rayConfig.java, line(s) 2291,1132,1312 ravey/C0796uf.java, line(s) 84
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ravey/rT.java, line(s) 219
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: k0/a.java, line(s) 1741
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 VGhpcyBpcyB0aGUgcHJlZml4IGZvciBCaWdJbnRlZ2Vy 1f4d46598d24083cce07c76cc0dd3aabae0ccab3 a3482e88-686a-4a58-8126-99c9df64b7bf VGhpcyBpcyB0aGUga2V5IGZvcihBIHNlY3XyZZBzdG9yYWdlIEFFUyBLZXkK VGhpcyBpcyB0aGUgcHJlZml4IGZvciBhIHNlY3VyZSBzdG9yYWdlCg VGhpcyBpcyB0aGUga2V5IGZvciBhIHNlY3VyZSBzdG9yYWdlIEFFUyBLZXkK -ea04f206aa814f0917735f0e7ab813762b927638a44e922fd6a3849e284f2d11
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: k0/a.java, line(s) 136 n3/j.java, line(s) 14,29,44 ravey/AbstractC0275aw.java, line(s) 34 ravey/AbstractC0562lo.java, line(s) 18 ravey/C0300bu.java, line(s) 39,179 ravey/C0379et.java, line(s) 18 ravey/C0443hc.java, line(s) 9 ravey/C0473ig.java, line(s) 40 ravey/C0492iz.java, line(s) 48,98,212 ravey/C0514ju.java, line(s) 15 ravey/C0561ln.java, line(s) 61 ravey/C0580mf.java, line(s) 54,57,63,70,75 ravey/C0646or.java, line(s) 53 ravey/C0650ov.java, line(s) 57,72 ravey/C0659pd.java, line(s) 113,154 ravey/C0684qb.java, line(s) 63,80,92,106,146,155,169,171,182,193 ravey/C0795ue.java, line(s) 46,50,52,58,122 ravey/Cif.java, line(s) 20 ravey/ComponentCallbacks2C0509jp.java, line(s) 204,209,211,217,220,235,242,395 ravey/P.java, line(s) 90,113,127,133,138 ravey/X.java, line(s) 24 ravey/aT.java, line(s) 21 ravey/bB.java, line(s) 28,38,56,88 ravey/bH.java, line(s) 25 ravey/bK.java, line(s) 237,338,353,376,398,470,488,505,546 ravey/bN.java, line(s) 57,69,76,81 ravey/cB.java, line(s) 164,180,195 ravey/cC.java, line(s) 32 ravey/cH.java, line(s) 39 ravey/cL.java, line(s) 48,58 ravey/cQ.java, line(s) 53 ravey/dI.java, line(s) 115 ravey/eS.java, line(s) 42,101,141 ravey/fC.java, line(s) 37 ravey/fF.java, line(s) 120 ravey/fK.java, line(s) 41,47 ravey/hW.java, line(s) 56 ravey/iP.java, line(s) 43 ravey/kF.java, line(s) 26 ravey/lZ.java, line(s) 34 ravey/nB.java, line(s) 89,167,378 ravey/nO.java, line(s) 87 ravey/pP.java, line(s) 70,203 ravey/pY.java, line(s) 22 ravey/rR.java, line(s) 443 ravey/sB.java, line(s) 22 ravey/sC.java, line(s) 36,63
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: ravey/eA.java, line(s) 120,119,118,118
安全 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。