移动应用安全检测报告: Play Store v1518920250409235226

安全基线评分


安全基线评分 51/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 1
中危安全漏洞 10
安全提示信息 1
已通过安全项 1
重点安全关注 0

高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
h0/AbstractC0144a.java, line(s) 19

中危安全漏洞 Broadcast Receiver (dlt.yooqv.gqdunqaq.lwngybp) 未受保护。 

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity-Alias (dlt.yooqv.gqdunqaq.ektjvwb) 未受保护。 

[android:exported=true]
检测到  Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (dlt.yooqv.gqdunqaq.zizhamjyf) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity (dlt.yooqv.gqdunqaq.hbxjqvrzerot) 未受保护。 

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Content Provider (dlt.yooqv.gqdunqaq.behpzcaasljgzr) 未受保护。 

[android:exported=true]
检测到  Content Provider 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
dlt/yooqv/gqdunqaq/zizhamjyf.java, line(s) 148,136

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
dlt/yooqv/gqdunqaq/hbxjqvrzerot.java, line(s) 32,33
dlt/yooqv/gqdunqaq/zizhamjyf.java, line(s) 135,136

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
J0/g.java, line(s) 72

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
F0/q.java, line(s) 27

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
A/C0060d.java, line(s) 10
T0/a.java, line(s) 3
T0/b.java, line(s) 3
T0/c.java, line(s) 3
U0/a.java, line(s) 4

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
I/T.java, line(s) 220
J0/g.java, line(s) 101
M/w.java, line(s) 19
U/C0033a.java, line(s) 58,84,94
U/C0037e.java, line(s) 307,337
U/C0041i.java, line(s) 174,201,206,255,305,319
U/DialogInterfaceOnCancelListenerC0045m.java, line(s) 123,156,252
U/G.java, line(s) 158,300,375,384,398,419,447,489,605,625,640,769,878,887,928,936,1639,1715
U/I.java, line(s) 25,32
U/P.java, line(s) 82,99,111,119,134
U/Q.java, line(s) 15,25,30,38
U/x.java, line(s) 194,212
U/y.java, line(s) 30,60
dlt/yooqv/gqdunqaq/scjzmnctyfleqv.java, line(s) 224
dlt/yooqv/gqdunqaq/zizhamjyf.java, line(s) 267,294
o/c.java, line(s) 249

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分: ( Play Store 1518920250409235226)