MAIDEN v35.0版本 - 安全评分 _南明离火移动安全分析平台

高危应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
com/trade_system/one/maiden/smclient/SMCLEINTSYS.java, line(s) 218,230,248,265

中危应用程序数据可以被备份

MANIFEST

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Service (com.trade_system.one.maiden.FxService) 未被保护。

MANIFEST

[android:exported=true]
发现 Service与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.LoginActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.MainActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.OrderMgrActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SymbolSearchActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.HogaActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.DayPLMoneyListActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawListActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.OverNightActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SettingsActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.NoticeListActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.CustomerChgActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SchOrderListActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SignupMemberActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SchTradeListActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.NotiMsgActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.PossAmountActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.TermsOfServiceActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.ChartActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危 Activity (com.trade_system.one.maiden.SymbolInfoActivity) 未被保护。

MANIFEST

[android:exported=true]
发现 Activity与设备上的其他应用程序共享，因此可被设备上的任何其他应用程序访问。

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/trade_system/one/maiden/smclient/FieldHeader.java, line(s) 206,13,353,313,104,98,390
com/trade_system/one/maiden/smclient/MsgTypeHeader.java, line(s) 118

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

CODE

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/trade_system/one/maiden/ChartActivity.java, line(s) 166,155

中危 IP地址泄露

CODE

IP地址泄露


Files:
com/trade_system/one/maiden/smclient/SMCLEINTSYS.java, line(s) 148
com/trade_system/one/maiden/util/lib.java, line(s) 57
com/trade_system/one/maiden/verUpdateActivity.java, line(s) 39,111

信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/trade_system/one/maiden/LoginActivity.java, line(s) 259
com/trade_system/one/maiden/smclient/SMCLEINTSYS.java, line(s) 200,211,222,240,257,269,967,984,999,1136,1200,1277
com/trade_system/one/maiden/util/lib.java, line(s) 642,660
com/trade_system/one/maiden/verUpdateActivity.java, line(s) 117,142,245,359,374,392

安全此应用程序没有隐私跟踪程序

TRACKERS

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全分析报告： MAIDEN v35.0

安全分数

安全分数 50/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

中危应用程序数据可以被备份

中危 Service (com.trade_system.one.maiden.FxService) 未被保护。

中危 Activity (com.trade_system.one.maiden.LoginActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.MainActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.OrderMgrActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SymbolSearchActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.HogaActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DayPLMoneyListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.OverNightActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SettingsActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.NoticeListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.CustomerChgActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SchOrderListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SignupMemberActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SchTradeListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.NotiMsgActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.PossAmountActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.TermsOfServiceActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.ChartActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SymbolInfoActivity) 未被保护。

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危 IP地址泄露

信息应用程序记录日志信息,不得记录敏感信息

安全此应用程序没有隐私跟踪程序

安全评分: ( MAIDEN 35.0)

安全分析报告： MAIDEN v35.0

安全分数

安全分数 50/100

风险评级

等级

严重性分布 (%)

隐私风险

用户/设备跟踪器

调研结果

高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

中危 应用程序数据可以被备份

中危 Service (com.trade_system.one.maiden.FxService) 未被保护。

中危 Activity (com.trade_system.one.maiden.LoginActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.MainActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.OrderMgrActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SymbolSearchActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.HogaActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DayPLMoneyListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.DepositWithdrawListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.OverNightActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SettingsActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.NoticeListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.CustomerChgActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SchOrderListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SignupMemberActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SchTradeListActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.NotiMsgActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.PossAmountActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.TermsOfServiceActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.ChartActivity) 未被保护。

中危 Activity (com.trade_system.one.maiden.SymbolInfoActivity) 未被保护。

中危 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

中危 IP地址泄露

信息 应用程序记录日志信息,不得记录敏感信息

安全 此应用程序没有隐私跟踪程序

安全评分: ( MAIDEN 35.0)

高危应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式，因为它对相同的明文块[UNK]产生相同的密文

中危应用程序数据可以被备份

中危文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危不安全的Web视图实现。可能存在WebView任意代码执行漏洞

信息应用程序记录日志信息,不得记录敏感信息

安全此应用程序没有隐私跟踪程序