安全分析报告: Funny Eyes Censor Maker v1.0.3

安全分数


安全分数 56/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 1
中危 10
信息 2
安全 2
关注 1

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
c/a/b/a/b/j/c2.java, line(s) 75

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.kakao.auth.authorization.authcode.KakaoWebViewActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.INSTALL_PACKAGES [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 76
com/dexterous/flutterlocalnotifications/models/NotificationDetails.java, line(s) 46,60

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
c/a/b/a/b/j/id.java, line(s) 18
com/mr/flutter/plugin/filepicker/b.java, line(s) 19

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/mr/flutter/plugin/filepicker/a.java, line(s) 237
com/mr/flutter/plugin/filepicker/b.java, line(s) 34

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/tekartik/sqflite/c.java, line(s) 7,667,759

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-4030505001827335~8041792655"
"firebase_database_url" : "https://parasite-8b908.firebaseio.com"
"google_api_key" : "AIzaSyBq5q2KNPIwvisFSaeejI-X0kPcYNy3Ajo"
"google_app_id" : "1:434906923536:android:2b7a76e3467edded7f0095"
"google_crash_reporting_api_key" : "AIzaSyBq5q2KNPIwvisFSaeejI-X0kPcYNy3Ajo"
"kakao_admin_key" : "330dc6f4707a06774006c1de40ddc9bb"
"kakao_app_key" : "36043ad122e5dc19ef2c1d489f31836a"
"kakao_javascript_key" : "416dc9215248c00c1afaf04e52e8440e"
"kakao_rest_api_key" : "fa4d3385f1c268a9ec8fe3e16ac10d4a"
"mapbox_access_token" : "pk.eyJ1Ijoiam5wam5wODgiLCJhIjoiY2sxOGo1eThsMXJjZTNndGozYXZydXAzMCJ9.EJb4_-xdmSobmqyRGyp19w"
258EAFA5-E914-47DA-95CA-C5AB0DC85B11

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
b/b/a/a.java, line(s) 30
c/a/b/a/b/d/c.java, line(s) 70
c/a/b/a/b/d/f.java, line(s) 124
c/a/b/a/b/d/k.java, line(s) 17,36
c/a/b/a/b/d/l.java, line(s) 17
c/a/b/a/b/d/l5.java, line(s) 37
c/a/b/a/b/d/m.java, line(s) 26,51
c/a/b/a/b/d/v5.java, line(s) 68,86,90
c/a/b/a/b/d/z5.java, line(s) 190
c/a/b/a/b/f/g.java, line(s) 24
c/a/b/a/b/g/c9.java, line(s) 66
c/a/b/a/b/g/fa.java, line(s) 44,85
c/a/b/a/b/g/p5.java, line(s) 29
c/a/b/a/b/g/s5.java, line(s) 21
c/a/b/a/b/g/w9.java, line(s) 135
c/a/b/a/b/i/s.java, line(s) 30
c/a/b/a/b/j/b2.java, line(s) 31
c/a/b/a/b/j/h6.java, line(s) 32,53,64,78,50,63,77
c/a/b/a/b/j/i1.java, line(s) 85
c/a/b/a/b/j/id.java, line(s) 225,272,151,139,148,157,186,192
c/a/b/a/b/j/o1.java, line(s) 70
c/a/b/a/b/j/p2.java, line(s) 24
c/a/b/a/b/j/s1.java, line(s) 55,80,47
c/a/b/a/b/j/v1.java, line(s) 27
c/a/b/a/b/j/y1.java, line(s) 31
c/a/b/a/b/j/z1.java, line(s) 28
c/a/b/a/b/l/l.java, line(s) 43
c/a/b/a/b/l/r6.java, line(s) 52
c/a/b/a/b/l/s.java, line(s) 25
c/a/b/a/b/l/s2.java, line(s) 44,56
c/a/b/a/b/l/w.java, line(s) 21
c/a/b/a/c/b/a.java, line(s) 77,81,91,110
com/baseflow/location_permissions/LocationPermissionsPlugin.java, line(s) 73,77,142,145,223,247,251,358,125,241
com/dexterous/flutterlocalnotifications/ScheduledNotificationBootReceiver.java, line(s) 11
com/example/flutterimagecompress/d/b.java, line(s) 64
com/example/flutterimagecompress/e/a.java, line(s) 58
com/example/flutterimagecompress/h/a.java, line(s) 14
com/lyokone/location/a.java, line(s) 180,163,185
com/mr/flutter/plugin/filepicker/a.java, line(s) 244,58,70,81,176,251,257
com/mr/flutter/plugin/filepicker/b.java, line(s) 25,28,30,33,37,51,59,76,86,142,63,66,69,97,122
com/tekartik/sqflite/c.java, line(s) 283,335,468,495,532,541,603,658,675,735,765,850,865,906,919,925,942,946,339,536,789
com/tekartik/sqflite/d.java, line(s) 54,65
d/a/a.java, line(s) 10,17
d/a/c/a/b.java, line(s) 42,61
d/a/c/a/d.java, line(s) 66,81,89
d/a/c/a/k.java, line(s) 52,79

信息 应用与Firebase数据库通信 

该应用与位于 https://parasite-8b908.firebaseio.com 的 Firebase 数据库进行通信

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
c/a/b/a/b/j/s1.java, line(s) 22

安全 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/434906923536/namespaces/firebase:fetch?key=AIzaSyBq5q2KNPIwvisFSaeejI-X0kPcYNy3Ajo ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.151.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Funny Eyes Censor Maker 1.0.3)