安全分析报告: lndulge v1.0.0

安全分数


安全分数 36/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 3
中危 2
信息 0
安全 1
关注 0

高危 Activity (io.dcloud.PandoraEntry) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (io.dcloud.PandoraEntryActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (io.dcloud.WebAppActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
DCLOUD的 "AD_ID" : "129400120411"
DCLOUD的 "CHANNEL" : "common"
DCLOUD的 "ApplicationId" : "plus.H50F2B245"
DCLOUD的 "APPID" : "H51EF821E"
DCLOUD的 "DCLOUD_STREAMAPP_CHANNEL" : "plus.H50F2B245|H51EF821E|129400120411|common"
"dcloud_permissions_reauthorization" : "reauthorize"
w7rHlsSRZmTEi21BbGxBcHBsaWNhdGlvbnNmZMSLx5jHlsSR
ZWHEg2HDucSDTUFOSUZFU1QuTUZhw7nEg8eYxavEhQ==
xavun4jEi2ZkxItkZXhFbGVtZW50c2ZkxIvDuWLEiw==
xatixI1mZMSLYW5kcm9pZC5hcHAuQWN0aXZpdHlUaHJlYWRmZMSLZmHEjQ==
YWLElWZkxIthbmRyb2lkLmFwcC5Mb2FkZWRBcGtmZMSLZMeUxIE=
Y8eYxINmZMSLaW8uZGNsb3VkLmFwcGxpY2F0aW9uLkRDbG91ZEFwcGxpY2F0aW9uZmTEi8eUw7zEgw==
x5rDusSJZmTEi3BhdGhMaXN0ZmTEi2RixIk=
x5xkxI1mZMSLbWFrZVBhdGhFbGVtZW50c2ZkxIvDuceaxI0=
Ye6fiMSDZmTEi2dldEluc3RhbmNlZmTEi2ZkxIM=
YcecxJNmZMSLY3Bsb3AuaXpiYXJmZMSLw7zHlMST
ZWTEjWZkxItyZXMvcmF3L2ZkxIvDusO5xI0=
ZWHEj2ZkxIttSW5pdGlhbEFwcGxpY2F0aW9uZmTEi+6fiGHEjw==
x5plxJVmZMSLamF2YXguY3J5cHRvLkNpcGhlcmZkxIvDuWbEgQ==
x5rHlsSTZmTEi21QYWNrYWdlSW5mb2ZkxItmw7zEkw==
x5jDvMSDZmTEi21BcHBsaWNhdGlvbmZkxIvFq8WrxIM=
7p+IYsSLZmTEi2phdmEuc2VjdXJpdHkuc3BlYy5BbGdvcml0aG1QYXJhbWV0ZXJTcGVjZmTEi8O5x5zEiw==
w7rDusSFZmTEi21BcHBsaWNhdGlvbkluZm9mZMSLx5TDucSF
Y8eWxIVhw7nEgzE3NDE2MjYwODE0MTBhw7nEg2Hun4jEhw==
vfdcreeun0xx5ichsq82ywf84l7krqua3cm9750wb
x5rHlsSHZmTEi2FuZHJvaWQuYXBwLkNvbnRleHRJbXBsZmTEi8eW7p+IxIc=
x5ZhxJVmZMSLYjg3Y2Q2NjA0MzcwODQyMzRjNjcyMGNkMTUyMjcxODI1MWMzMzhhZWZkxIvFq8eYxIE=
x5bHlsSFZmTEi0FFUy9DQkMvUEtDUzVQYWRkaW5nZmTEi8eWx5jEhQ==

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( lndulge 1.0.0)