移动应用安全检测报告:
安全基线评分
安全基线评分 35/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
4
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
5
中危安全漏洞
12
安全提示信息
1
已通过安全项
0
重点安全关注
8
高危安全漏洞 存在 Janus 漏洞风险
仅使用 v1 签名方案,Android 5.0-8.0 设备易受 Janus 漏洞影响。若同时存在 v1 和 v2/v3 签名,Android 5.0-7.0 设备同样存在风险。
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(28)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/de/de/user/ui/GameActivity.java, line(s) 26,24
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 77 g/b/a/a/a/a.java, line(s) 162
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: e/d/a/m/e.java, line(s) 88 e/d/a/m/k/c.java, line(s) 42 e/d/a/m/k/n.java, line(s) 92 e/d/a/m/k/u.java, line(s) 79
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/ss/android/downloadlib/addownload/hb.java, line(s) 227 com/ss/android/downloadlib/addownload/qw.java, line(s) 130,132 com/ss/android/downloadlib/z/e.java, line(s) 109,245 e/h/a/b/d/a.java, line(s) 55,59,60 e/h/a/h/e.java, line(s) 35
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/de/de/user/ui/GameActivity.java, line(s) 48,40
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: e/h/a/h/h.java, line(s) 14,21
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/ss/android/download/api/constant/BaseConstants.java, line(s) 36
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: e/h/a/h/l.java, line(s) 30
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/ss/android/downloadlib/r/wo.java, line(s) 4,5,18,23
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/alex/AlexGromoreBannerAdapter.java, line(s) 230,237,240 com/alex/AlexGromoreRewardedVideoAdapter.java, line(s) 151,210 com/anythink/banner/api/ATBannerView.java, line(s) 354,370,375,528 com/anythink/interstitial/a/a.java, line(s) 78 com/anythink/interstitial/a/c.java, line(s) 85,225,230,235,132,134,173,175 com/anythink/interstitial/api/ATInterstitial.java, line(s) 200,211,224 com/kwai/library/ipneigh/KwaiIpNeigh.java, line(s) 47,50 e/a/e.java, line(s) 83 e/a/g.java, line(s) 77,176 e/a/h.java, line(s) 350 e/a/i.java, line(s) 57,80 e/a/j.java, line(s) 201 e/d/a/k/a.java, line(s) 472 e/d/a/l/d.java, line(s) 99,129,98,128 e/d/a/l/f.java, line(s) 539,568,575,538,567,574,737,746 e/d/a/m/j/b.java, line(s) 48,47 e/d/a/m/j/j.java, line(s) 52,148,51,147,151,157,164,161,165 e/d/a/m/j/l.java, line(s) 49,48 e/d/a/m/j/o/c.java, line(s) 111,110 e/d/a/m/j/o/e.java, line(s) 81,80 e/d/a/m/k/a0/a.java, line(s) 88,87 e/d/a/m/k/g.java, line(s) 56,57 e/d/a/m/k/i.java, line(s) 32,193 e/d/a/m/k/w.java, line(s) 34,35 e/d/a/m/k/x/j.java, line(s) 114,155,115,156 e/d/a/m/k/x/k.java, line(s) 133,176,187,199,96,132,142,165,175,186,198,225,232,102,143,226,233,166 e/d/a/m/k/y/e.java, line(s) 62,68,96,106,119,131,63,97,69,109,120,132 e/d/a/m/k/y/l.java, line(s) 168,152 e/d/a/m/k/z/a.java, line(s) 98,95 e/d/a/m/k/z/b.java, line(s) 45,44 e/d/a/m/l/c.java, line(s) 19,18 e/d/a/m/l/d.java, line(s) 43,42 e/d/a/m/l/f.java, line(s) 101,100 e/d/a/m/l/s.java, line(s) 100,103 e/d/a/m/l/t.java, line(s) 38,37 e/d/a/m/m/c/b0.java, line(s) 131,128 e/d/a/m/m/c/m.java, line(s) 195,202,282,292,304,316,334,344,347,350,353,356,370,375,194,201,281,291,303,315,333,343,346,349,352,355,369,374 e/d/a/m/m/c/n.java, line(s) 98,116,97,115,191,227,243,192,228,319 e/d/a/m/m/c/o.java, line(s) 47,53,48,54 e/d/a/m/m/c/s.java, line(s) 48,49 e/d/a/m/m/c/y.java, line(s) 298,120,125,170,179,186,295,121,126,171,180,187,188,189,193 e/d/a/m/m/g/a.java, line(s) 78,83,88,97,79,84,89,98 e/d/a/m/m/g/c.java, line(s) 26,27 e/d/a/m/m/g/i.java, line(s) 41,44 e/d/a/n/e.java, line(s) 33,32,55,74,56,75 e/d/a/n/f.java, line(s) 18,17 e/d/a/n/k.java, line(s) 254,255,266 e/d/a/n/m.java, line(s) 111,112 e/d/a/o/e.java, line(s) 52,59,70,75,51,58,63,69,74,64 e/d/a/q/k/f.java, line(s) 78,119,120,79 e/d/a/q/k/r.java, line(s) 76,117,118,77 e/d/a/r/a.java, line(s) 26 e/d/a/s/b.java, line(s) 47,46 e/d/a/s/m/a.java, line(s) 57,58 e/h/a/h/g.java, line(s) 15,31,36,46,56,62 e/j/a/i/a.java, line(s) 37 g/b/b/b/a/a/b.java, line(s) 31 g/b/b/b/a/a/f.java, line(s) 83 g/b/b/c/a/b.java, line(s) 28,48 g/b/b/d/a/c.java, line(s) 165,54,176,188 g/b/b/d/a/d.java, line(s) 25 g/b/b/e/b/b.java, line(s) 54,48
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。
{'ip': '221.231.47.226', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。
{'ip': '117.85.70.225', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。
{'ip': '221.231.47.226', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '泉州', 'latitude': '24.913891', 'longitude': '118.585831'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (qq.ahaozhuan.com) 通信。
{'ip': '47.107.40.90', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。
{'ip': '221.231.47.226', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '盐城', 'latitude': '33.385559', 'longitude': '120.125282'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield.com) 通信。
{'ip': '221.231.47.226', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '徐州', 'latitude': '34.266666', 'longitude': '117.166664'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。
{'ip': '221.231.47.226', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.bytesfield-b.com) 通信。
{'ip': '58.215.157.236', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}