移动应用安全检测报告: 在线服务 v1.1.0

安全基线评分


安全基线评分 52/100

综合风险等级


风险等级评定

  1. A
  2. B
  3. C
  4. F

漏洞与安全项分布(%)


隐私风险

0

检测到的第三方跟踪器数量


检测结果分布

高危安全漏洞 1
中危安全漏洞 6
安全提示信息 1
已通过安全项 1
重点安全关注 0

高危安全漏洞 Activity (io.dcloud.PandoraEntry) 易受 StrandHogg 2.0 攻击 

检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。

中危安全漏洞 应用已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/ba/keeplive/config/NotificationUtils.java, line(s) 15
com/hjq/permissions/PermissionFragment.java, line(s) 15

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 27,28,30,55,115
com/nostra13/dcloudimageloader/utils/StorageUtils.java, line(s) 22,41,41,46

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/dmcbig/mediapicker/TakePhotoActivity.java, line(s) 26
com/dmcbig/mediapicker/utils/FileUtils.java, line(s) 38

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/hjq/permissions/StartActivityManager.java, line(s) 9

中危安全漏洞 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
DCLOUD的 "AD_ID" : "128461110504"
DCLOUD的 "ApplicationId" : "uni.jishifuwu.andriod"
DCLOUD的 "APPID" : "__UNI__C0C0E01"
DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "uni.jishifuwu.andriod|__UNI__C0C0E01|128461110504|common"
DCLOUD的 "CHANNEL" : "common"
"dcloud_permissions_reauthorization" : "reauthorize"
0c6f289fae06a700673a96e12f43ca5c1

安全提示信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
androidtranscoder/MediaTranscoder.java, line(s) 75,152,185,72,69
androidtranscoder/engine/MediaTranscoderEngine.java, line(s) 75,83,168,197
androidtranscoder/engine/QueuedMuxer.java, line(s) 95,97,105
androidtranscoder/engine/TextureRender.java, line(s) 49,61,62,77,80,98
androidtranscoder/format/ExportPreset960x540Strategy.java, line(s) 23
com/bun/miitmdid/core/MdidSdkHelper.java, line(s) 57,63
com/bun/miitmdid/core/Utils.java, line(s) 73,76,36,42,47
com/dmcbig/mediapicker/PreviewActivity.java, line(s) 248

已通过安全项 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分: ( 在线服务 1.1.0)