安全分析报告: Browser v4.3.11767

安全分数


安全分数 44/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 3
中危 11
信息 0
安全 1
关注 0

高危 应用程序容易受到 Janus 漏洞的影响 

应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。

高危 Activity (BrowserActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (BrowserActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。 

活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (18) 更新到 28 或更高版本以在平台级别修复此问题。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Content Provider (.provider.BrowserProvider2) 未被保护。 

[android:exported=true]
发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (ShortcutActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (BrowserPreferencesPage) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (BookmarkSearch) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (AddBookmarkPage) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (.widget.BookmarkThumbnailWidgetProvider) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity (.widget.BookmarkWidgetConfigure) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (.OpenDownloadReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (.AccountsChangedReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"username" : "Name"
"password" : "Password"
"pref_security_passwords_title" : "Passwords"
"username" : "Nom"
"password" : "Contrasenya"
"pref_security_passwords_title" : "Contrasenyes"
"username" : "Navn"
"password" : "Adgangskode"
"pref_security_passwords_title" : "Adgangskoder"
"username" : "Brukernavn"
"password" : "Passord"
"pref_security_passwords_title" : "Passord"
"username" : "Name"
"password" : "Passwort"
"username" : "Naam"
"password" : "Wagwoord"
"pref_security_passwords_title" : "Wagwoorde"
"username" : "Nimi"
"password" : "Salasana"
"pref_security_passwords_title" : "Salasanat"
"username" : "Meno"
"password" : "Heslo"
"username" : "Naam"
"password" : "Wachtwoord"
"pref_security_passwords_title" : "Wachtwoorden"
"username" : "Nazwa"
"username" : "Ime"
"password" : "Geslo"
"pref_security_passwords_title" : "Gesla"
"username" : "Pangalan"
"password" : "Password"
"username" : "Num"
"password" : "Pled-clav"
"username" : "Nama"
"password" : "Sandi"
"pref_security_passwords_title" : "Sandi"
"username" : "Nume"
"pref_security_passwords_title" : "Parole"
"username" : "Nom"
"username" : "Ime"
"password" : "Zaporka"
"pref_security_passwords_title" : "Zaporke"
"username" : "Ad"
"password" : "Heslo"
"pref_security_passwords_title" : "Hesla"
"username" : "Nombre"
"username" : "Nama"
"username" : "Nome"
"password" : "Password"
"pref_security_passwords_title" : "Password"
"username" : "Pavadinimas"
"username" : "Nome"
"password" : "Senha"
"pref_security_passwords_title" : "Senhas"
"pref_security_passwords_title" : "Jelszavak"
"username" : "Igama"
"password" : "Iphasiwedi"
"pref_security_passwords_title" : "Amaphasiwedi"
"password" : "Parole"
"pref_security_passwords_title" : "Paroles"
"username" : "Namn"
"username" : "Jina"
"password" : "Nenosiri"
"pref_security_passwords_title" : "Manenosiri"
"username" : "Name"
"password" : "Password"
"pref_security_passwords_title" : "Passwords"
"username" : "Nombre"
"username" : "Nome"
"password" : "Palavra-passe"
"pref_security_passwords_title" : "Palavras-passe"

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

安全评分: ( Browser 4.3.11767)