移动应用安全检测报告:
安全基线评分
安全基线评分 23/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
1
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
16
中危安全漏洞
11
安全提示信息
1
已通过安全项
1
重点安全关注
0
高危安全漏洞 Activity (io.dcloud.PandoraEntryActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(io.dcloud.PandoraEntryActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.ss.android.downloadlib.activity.TTDelegateActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.ss.android.downloadlib.activity.TTDelegateActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.ss.android.downloadlib.activity.JumpKllkActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.ss.android.downloadlib.activity.JumpKllkActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.ss.android.socialbase.appdownloader.view.DownloadTaskDeleteActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.ss.android.socialbase.appdownloader.view.DownloadTaskDeleteActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.ss.android.socialbase.appdownloader.view.JumpUnknownSourceActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.ss.android.socialbase.appdownloader.view.JumpUnknownSourceActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$FragmentActivitySingleInstance1) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$FragmentActivitySingleInstance2) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity (com.kwad.sdk.api.proxy.app.BaseFragmentActivity$DeveloperConfigActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity (io.dcloud.WebAppActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(io.dcloud.WebAppActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 92,18,19,20
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Service (com.kwad.sdk.api.proxy.VideoWallpaperService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_WALLPAPER [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(io.dcloud.WebAppActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 高优先级 Intent(1000) - {1} 个命中
[android:priority] 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/kwai/video/hodor/util/FileUtils.java, line(s) 37,45 com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 21,43,43,52 com/ss/android/downloadlib/addownload/g.java, line(s) 350 com/ss/android/downloadlib/addownload/j.java, line(s) 236,238 com/ss/android/downloadlib/g/l.java, line(s) 346,326,417
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/kwai/sodler/lib/c.java, line(s) 158
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/kwai/filedownloader/f/f.java, line(s) 287 com/kwai/video/hodor/BuildConfig.java, line(s) 16 com/kwai/video/player/BuildConfig.java, line(s) 13
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/kwai/filedownloader/b/d.java, line(s) 5,6,7,152 com/kwai/filedownloader/b/e.java, line(s) 4,5,14,15,33,34,37,38 com/ss/android/downloadlib/d/b.java, line(s) 4,5,16,21
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/kwai/filedownloader/f/f.java, line(s) 292 com/kwai/sodler/lib/c/a.java, line(s) 39 com/kwai/video/ksvodplayerkit/Utils/VodPlayerUtils.java, line(s) 131
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 DCloud(数字天堂)的=> "DCLOUD_AD_ID" : "1.20069087E11" DCLOUD的 "AD_ID" : "120069090002" DCLOUD的 "CHANNEL" : "common" DCLOUD的 "ApplicationId" : "plus.H5A21C719" 凭证信息=> "IFLY_APPKEY" : "53feacdd" DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "plus.H5A21C719|H53D2D9CC|120069090002|common" DCLOUD的 "APPID" : "H53D2D9CC" "dcloud_permissions_reauthorization" : "reauthorize"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/kwai/player/vr/EglUtil.java, line(s) 57 com/kwai/player/vr/KwaiOrientationHelper.java, line(s) 266,275 com/kwai/player/vr/KwaiSensorHelper.java, line(s) 124,160,163,242,157,187 com/kwai/player/vr/KwaiVR.java, line(s) 141,148,163,247,265 com/kwai/player/vr/SurfaceTextureRenderer.java, line(s) 167,289,327,363,398,446,487,492,531,548,171,184,193,233,237,246,312,356,359,381,465,140,143,146,149,157,161,227,249,264,280,283,285,303,314,556,558,613 com/kwai/player/vr/SurfaceUtil.java, line(s) 13,25 com/kwai/sodler/a/b.java, line(s) 30 com/kwai/sodler/lib/a.java, line(s) 20,10,24 com/kwai/sodler/lib/a/f.java, line(s) 147 com/kwai/sodler/lib/ext/d.java, line(s) 144,171 com/kwai/video/hodor/util/Timber.java, line(s) 207,225 com/kwai/video/ksvodplayerkit/KSVodPlayer.java, line(s) 154 com/kwai/video/ksvodplayerkit/Logger/KSVodLogger.java, line(s) 28,51,74,134,157 com/kwai/video/player/AbstractNativeMediaPlayer.java, line(s) 49,53,44,56,78,75,95 com/kwai/video/player/KsDrm.java, line(s) 18 com/kwai/video/player/KsMediaCodecInfo.java, line(s) 196,198 com/kwai/video/player/KsMediaPlayer.java, line(s) 1190,563,1293,1338,1372,1526,1584,1602 com/kwai/video/player/kwai_player/KwaiMediaPlayer.java, line(s) 1134,1073,1478,346,1213,1431,1450 com/kwai/video/player/pragma/DebugLog.java, line(s) 14,18,22,26,30,34,38,42,46,62,66,70,74,78,82 com/kwai/video/player/surface/DummySurface.java, line(s) 68,74,168 master/flame/danmaku/danmaku/model/objectpool/FinitePool.java, line(s) 56 tv/cjump/jni/DeviceUtils.java, line(s) 67 tv/cjump/jni/NativeBitmapFactory.java, line(s) 70,125
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/nostra13/dcloudimageloader/core/download/BaseImageDownloader.java, line(s) 90,92