安全分析报告:
安全分数
安全分数 43/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
3
中危
21
信息
2
安全
0
关注
0
高危 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/appsflyer/AppsFlyerLibCore.java, line(s) 649
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity设置了TaskAffinity属性
(com.opera.app.notification.PushPopupActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Broadcast Receiver (com.opera.app.analytics.OSPPingReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.opera.app.push.NewsFeedSystemReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.opera.app.notification.PushNotificationSystemReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.opera.app.push.NewsPushSystemReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.opera.app.firebase.OperaFirebaseMessagingService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.opera.app.ping.SyncService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.opera.app.ping.SyncAuthenticatorService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.opera.ad.InstallReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (androidx.work.impl.background.gcm.WorkManagerGcmService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.gms.permission.BIND_NETWORK_TASK_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.facebook.CampaignTrackingReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/opera/app/push/NotificationsRequestWork.java, line(s) 30 com/opera/app/settings/SettingsManager.java, line(s) 23
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/appsflyer/AppsFlyerProperties.java, line(s) 13
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/af.java, line(s) 29
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/appsflyer/internal/ad.java, line(s) 39 com/appsflyer/internal/af.java, line(s) 54
中危 Firebase远程配置已启用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/524959666789/namespaces/firebase:fetch?key=AIzaSyBiGraEzceZrzabotxe7HLr8395y3uvu_s ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示:
{
"entries": {
"ad_revenue_troas_cache_limit": "0.01",
"adltv_inflation_rate": "2",
"adltv_oneday_top_thresholds": "[0.08,0.1,0.15,0.2,0.3]",
"apex_enable_odds_on_scores_by_default": "true",
"dynamic_entry_icon_url": "",
"dynamic_entry_url": "",
"enable_collect_app_task_cst": "false",
"football_bet_tips_url": "https://www.apex-football.com/client/tips",
"football_enable_odds": "false",
"football_odds_betting_url": "intent://rt.bet9ja.click/o/sJ5-Bh?site_id=303616&s1=OperaNews&t1=ODDS#Intent;scheme=https;end",
"football_onboarding_data": "{\"teams\":{\"br-pt\":[{\"name\":\"Flamengo\",\"logoUrl\":\"https://oscore.operacdn.com/images/22793.webp\"},{\"name\":\"Corinthians\",\"logoUrl\":\"https://oscore.operacdn.com/images/33991.webp\"},{\"name\":\"Palmeiras\",\"logoUrl\":\"https://oscore.operacdn.com/images/22798.webp\"}],\"us-en\":[{\"name\":\"Inter Miami CF test\",\"logoUrl\":\"https://oscore.operacdn.com/images/27986.webp\"},{\"name\":\"Real Madrid\",\"logoUrl\":\"https://oscore.operacdn.com/images/25461.webp\"},{\"name\":\"LA Galaxy\",\"logoUrl\":\"https://oscore.operacdn.com/images/22828.webp\"}],\"us-es\":[{\"name\":\"Barcelona\",\"logoUrl\":\"https://oscore.operacdn.com/images/23016.webp\"},{\"name\":\"Club América\",\"logoUrl\":\"https://oscore.operacdn.com/images/22804.webp\"},{\"name\":\"LA Galaxy\",\"logoUrl\":\"https://oscore.operacdn.com/images/22828.webp\"}],\"es-es\":[{\"name\":\"Real Madrid\",\"logoUrl\":\"https://oscore.operacdn.com/images/25461.webp\"},{\"name\":\"Barcelona\",\"logoUrl\":\"https://oscore.operacdn.com/images/23016.webp\"},{\"name\":\"Atlético Madrid\",\"logoUrl\":\"https://oscore.operacdn.com/images/25269.webp\"}],\"de-de\":[{\"name\":\"FC Bayern München\",\"logoUrl\":\"https://oscore.operacdn.com/images/26021.webp\"},{\"name\":\"Borussia Dortmund\",\"logoUrl\":\"https://oscore.operacdn.com/images/26192.webp\"},{\"name\":\"Bayer 04 Leverkusen\",\"logoUrl\":\"https://oscore.operacdn.com/images/25059.webp\"}],\"fr-fr\":[{\"name\":\"Paris Saint-Germain\",\"logoUrl\":\"https://oscore.operacdn.com/images/26307.webp\"},{\"name\":\"Olympique de Marseille\",\"logoUrl\":\"https://oscore.operacdn.com/images/25664.webp\"},{\"name\":\"Lille OSC\",\"logoUrl\":\"https://oscore.operacdn.com/images/26328.webp\"}],\"pl-pl\":[{\"name\":\"Legia Warszawa\",\"logoUrl\":\"https://oscore.operacdn.com/images/26301.webp\"},{\"name\":\"Barcelona\",\"logoUrl\":\"https://oscore.operacdn.com/images/23016.webp\"},{\"name\":\"Real Madrid\",\"logoUrl\":\"https://oscore.operacdn.com/images/25461.webp\"}]}}",
"football_sponsor_click_url": "intent://sports.bet9ja.com/?site_id=303616#Intent;scheme=https;end",
"football_sponsor_icon_url": "http://res.feednews.com/assets/v2/59296da1ee3f412199f243fd1d348757",
"football_sponsor_title": "Bet9ja",
"iosnews_appopenad_auto_close_time": "0",
"iosnews_appopenad_enable_while_coldstart": "true",
"iosnews_appopenad_max_pending_time": "5",
"iosnews_enable_odds_on_scores_by_default": "false",
"iosnews_football_base_url": "https://ft-oscore.opera-api.com",
"iosnews_football_enable_odds": "false",
"iosnews_football_website_url": "https://www.apex-football.com/",
"iosnews_news_football_base_url": "https://news-af.op-mobile.opera.com",
"iosnews_oscore_football_base_url": "https://oscore.opera-api.com",
"iosnews_use_native_match_details": "false",
"live_scores_header_icon_url": ""
},
"state": "UPDATE",
"templateVersion": "68"
}
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-1883810847636355~9836629554" "facebook_app_id" : "240212803666748" "firebase_database_url" : "https://om-firebase-notifications.firebaseio.com" "google_api_key" : "AIzaSyBiGraEzceZrzabotxe7HLr8395y3uvu_s" "google_app_id" : "1:524959666789:android:491f751c1edbe6bd1d6c8c" "google_crash_reporting_api_key" : "AIzaSyBiGraEzceZrzabotxe7HLr8395y3uvu_s" "sync_authority" : "com.opera.app.newslite.ping.provider"
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/appsflyer/AFLogger.java, line(s) 34,86,119,56,68,144 com/appsflyer/AppsFlyerLibCore.java, line(s) 323,346,364,2012,2019 com/appsflyer/internal/z.java, line(s) 33,41,94,101 com/franmontiel/persistentcookiejar/persistence/SerializableCookie.java, line(s) 34,42,50,70 com/opera/ad/mraid/MRAIDView.java, line(s) 1330 com/opera/app/settings/SettingsManager.java, line(s) 354,358
信息 应用与Firebase数据库通信
该应用与位于 https://om-firebase-notifications.firebaseio.com 的 Firebase 数据库进行通信