安全分析报告: APKPure v1.01.2802

安全分数


安全分数 32/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

6

用户/设备跟踪器


调研结果

高危 32
中危 44
信息 3
安全 3
关注 5

高危 应用程序容易受到 Janus 漏洞的影响 

应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。

高危 Activity (com.apkpure.aegon.main.activity.MainTabActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.facebook.CustomTabActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.apkpure.components.xinstaller.XInstallerActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.tencent.qqlive.module.videoreport.scheme.SchemeRouterActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.tencent.qqlive.module.videoreport.scheme.SchemeRouterActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.san.core.CommonStartOpenActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.san.core.CommonProtectActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.san.az.AdAppOperator) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.san.proaz.OutProAzImproveActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.san.proactive.OutProActiveImproveActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.components.installer.ui.InstallApksActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.tencent.qqdownloader.notification.QDNotificationSupportActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.tencent.qqdownloader.backgroundstart.BackgroundSupportActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.google.android.gms.tagmanager.TagManagerPreviewActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.anythink.core.activity.AnyThinkGdprAuthActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.huawei.openalliance.ad.activity.PPSLauncherActivity) 容易受到StrandHogg 2.0的攻击 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.apkpure.aegon.plugin.runtime.PluginSingleInstance1ProxyActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.aegon.plugin.runtime.PluginSingleTask1ProxyActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.components.xinstaller.receiver.SessionInstallReceiverActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.components.xinstaller.receiver.UnInstallReceiverActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.aegon.receiver.UnInstallReceiverActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.apkpure.components.installer.ui.InstallApksActivityV2) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/ola/qsea/b/a.java, line(s) 35

高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 

SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis

Files:
f/i/b/e/d/a/e.java, line(s) 10,11,3
f/i/b/e/f/c/a/a.java, line(s) 30,31,10

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/pierfrancescosoffritti/androidyoutubeplayer/core/player/views/LegacyYouTubePlayerView.java, line(s) 93,148
f/i/c/a/a/q/d/a/a.java, line(s) 50,5

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
f/c/b/b/l/g.java, line(s) 13

高危 应用程序包含隐私跟踪程序 

此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.facebook.CustomTabActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.apkpure.keepalive.AlphaService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.apkpure.keepalive.BetaService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.apkpure.aegon.services.AutoInstallService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.apkpure.aegon.application.RealApplicationLike$FTNetworkReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.apkpure.aegon.app.event.SystemBootEvent$Receiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.RECEIVE_BOOT_COMPLETED [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.apkpure.aegon.app.event.SystemPackageEvent$Receiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.apkpure.aegon.person.event.NotificationEvent) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.apkpure.aegon.event.receiver.PowerConnectionReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.apkpure.aegon.event.receiver.BatteryLevelReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.google.android.gms.analytics.AnalyticsReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.google.android.gms.analytics.CampaignTrackingReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.apkpure.aegon.services.PushFirebaseMessagingService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.tencent.qqlive.module.videoreport.scheme.SchemeRouterActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.apkpure.aegon.plugin.topon2.TopOnService$TopOnNetworkReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.san.proaz.OutProAzImproveActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性 

(com.san.proactive.OutProActiveImproveActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Service (san.a.getDownloadingList) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.tencent.qqdownloader.notification.QDNotificationSupportActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性 

(com.tencent.qqdownloader.backgroundstart.BackgroundSupportActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.google.android.gms.tagmanager.TagManagerPreviewActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.huawei.openalliance.ad.activity.PPSLauncherActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.apkpure.aegon.plugin.push.hw.HwHostDemoHmsMessageService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 高优先级的Intent (1000) - {2} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 高优先级的Intent (999) - {1} 个命中 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/apkpure/aegon/plugin/topon/api1/ATAdConst.java, line(s) 72
com/tencent/raft/raftframework/remote/RAFTRemoteProxy.java, line(s) 15
f/c/a/e/h/b/d.java, line(s) 138,158
f/d/a/l/t/q.java, line(s) 90
f/i/c/a/a/i/c.java, line(s) 263
f/i/c/a/a/q/d/b/b/b/c.java, line(s) 62
f/i/d/a/a.java, line(s) 143

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/ola/qsea/l/a.java, line(s) 10
com/ola/qsea/p/k.java, line(s) 11
com/ola/qsea/p/p.java, line(s) 8
com/ola/qsea/t/c.java, line(s) 5
com/tencent/qmsp/sdk/f/c.java, line(s) 6
e/a/e/d.java, line(s) 12
f/c/a/e/k/a/e.java, line(s) 13
f/c/a/e/k/f/a.java, line(s) 3
f/e/a/b/f/b/q9.java, line(s) 32
f/e/b/j/b.java, line(s) 25
f/h/a/a.java, line(s) 47
f/i/c/a/a/b0/f.java, line(s) 10
h/p/a.java, line(s) 3
h/p/b.java, line(s) 4
h/p/d/a.java, line(s) 4
l/b/a/a/b/g/c/a.java, line(s) 3

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/ola/qsea/l/a.java, line(s) 52
com/tencent/qmsp/sdk/a/c.java, line(s) 42,111
com/tencent/qmsp/sdk/g/b/c.java, line(s) 73
f/c/a/e/d/d.java, line(s) 144
f/c/a/e/f/a/d.java, line(s) 76,45,100,100
f/c/a/e/k/b/a.java, line(s) 35
f/e/a/b/f/b/q9.java, line(s) 146

中危 IP地址泄露 

IP地址泄露


Files:
com/ola/qsea/d/c.java, line(s) 262,273
com/tencent/raft/measure/BuildConfig.java, line(s) 7
com/tencent/raft/raftframework/BuildConfig.java, line(s) 7
com/tencent/raft/raftframework/constant/RAFTConstants.java, line(s) 5
com/tencent/raft/raftframework/sla/SLAReporter.java, line(s) 159,275

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
f/e/a/a/f/z/i/h0.java, line(s) 5,6,193,220,237,263,317,344,432
f/e/a/a/f/z/i/j0.java, line(s) 4,5,114
f/e/a/b/f/b/k.java, line(s) 6,7,545,581
f/e/a/b/f/b/k9.java, line(s) 7,8,327
f/f/a/a/f/d.java, line(s) 4,16,16
f/i/b/e/e/e.java, line(s) 7,8,52,59
f/i/b/e/f/c/a/a.java, line(s) 8,9,153,165,170,199,204
f/i/b/f/k/b.java, line(s) 5,6,44,59,88

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
e/p/c.java, line(s) 98
f/e/b/r/l/c.java, line(s) 56

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/pierfrancescosoffritti/androidyoutubeplayer/core/player/views/LegacyYouTubePlayerView.java, line(s) 75,72

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
f/c/a/e/f/a/a.java, line(s) 46
f/c/a/o/l/q.java, line(s) 131
f/c/b/b/l/d.java, line(s) 58,58
f/i/b/b.java, line(s) 30,31
f/i/b/e/h/b.java, line(s) 116,119,120

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/tencent/crabshell/common/SHA1.java, line(s) 162,228
com/tencent/qmsp/sdk/g/g/e.java, line(s) 77
f/c/a/e/k/b/a.java, line(s) 52
f/e/b/l/j/j/l.java, line(s) 181
f/e/b/r/l/b.java, line(s) 41

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
灯塔 SDK的=> "APPKEY_DENGTA" : "0AND02Z8WN41BWCA"
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-1702223634761761~4008239917"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=106420291"
"google_api_key" : "AIzaSyAqCv41AHdy_xRNJT9JF4S47LWws5PqiPM"
"google_app_id" : "1:445297986467:android:f82a94310213fa41"
"google_crash_reporting_api_key" : "AIzaSyAqCv41AHdy_xRNJT9JF4S47LWws5PqiPM"
"firebase_database_url" : "https://apkpure-firebase.firebaseio.com"
470fa2b4ae81cd56ecbcda9735803434cec591fa
02434ec0969e811e8d211a4583ce2cbfa86ac312
bGV2ZWxfaXBhX3RzcmlmLnRjdWRvcnAub3I=
d33cb23fd17fda8ea38be504929b77ef

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/tencent/raft/codegenmeta/RaftCodeGenRepository.java, line(s) 34,31
com/tencent/raft/codegenmeta/config/RaftConfigService.java, line(s) 144,136
com/tencent/raft/codegenmeta/config/RaftConfigsMeta.java, line(s) 135
com/tencent/raft/codegenmeta/utils/FileUtils.java, line(s) 39,146
com/tencent/raft/codegenmeta/utils/RLog.java, line(s) 9,13,29
com/tencent/raft/measure/RAFTMeasure.java, line(s) 30
com/tencent/raft/measure/report/ATTAReporter.java, line(s) 59,80,90,126
com/tencent/raft/raftannotation/utils/Log.java, line(s) 11,15,26,30,34
com/tencent/raft/raftframework/RAApplicationContext.java, line(s) 239,277,289,264,89,228
com/tencent/raft/raftframework/config/check/DefaultProcessCheck.java, line(s) 25
com/tencent/raft/raftframework/declare/RADeclareManager.java, line(s) 39,41,64
com/tencent/raft/raftframework/remote/RAFTIPCMainProcessorImpl.java, line(s) 16
com/tencent/raft/raftframework/remote/RAFTRemoteHandler.java, line(s) 80,29,42,55
com/tencent/raft/raftframework/remote/RAFTRemoteProxy.java, line(s) 30,77,84,94
com/tencent/raft/raftframework/remote/RemoteProxyUtil.java, line(s) 42,54,58,117
com/tencent/raft/raftframework/service/RAServiceManager.java, line(s) 41,54,56,86
com/tencent/raft/raftframework/service/RServiceManager.java, line(s) 23,143,199,27,65,72,79
com/tencent/raft/raftframework/sla/SLAReporter.java, line(s) 167,183
com/tencent/raft/raftframework/util/AppUtils.java, line(s) 27,41,51,64
com/tencent/raft/raftframework/util/ProcessUtil.java, line(s) 58,42
e/e/a/d.java, line(s) 247
e/g/j/q.java, line(s) 420
e/g/k/e.java, line(s) 34
f/d/a/b.java, line(s) 239,244,246,252,255,263,270,359
f/d/a/f.java, line(s) 231
f/d/a/g.java, line(s) 91
f/d/a/i/a.java, line(s) 299
f/d/a/j/d.java, line(s) 165,190
f/d/a/j/e.java, line(s) 88,108,123
f/d/a/k/a/a.java, line(s) 85
f/d/a/l/s/b.java, line(s) 51
f/d/a/l/s/j.java, line(s) 92,135,139,141,147
f/d/a/l/s/l.java, line(s) 52
f/d/a/l/s/p/b.java, line(s) 94
f/d/a/l/t/a0.java, line(s) 66
f/d/a/l/t/b0/i.java, line(s) 130,165
f/d/a/l/t/b0/j.java, line(s) 56,58,67,114,122,134,164,178,194,205
f/d/a/l/t/c0/e.java, line(s) 48,80,90,100
f/d/a/l/t/c0/j.java, line(s) 71
f/d/a/l/t/d0/a.java, line(s) 68
f/d/a/l/t/i.java, line(s) 167,222,530
f/d/a/l/t/j.java, line(s) 133
f/d/a/l/t/l.java, line(s) 18
f/d/a/l/u/c.java, line(s) 15
f/d/a/l/u/d.java, line(s) 42
f/d/a/l/u/f.java, line(s) 100
f/d/a/l/u/s.java, line(s) 95
f/d/a/l/u/t.java, line(s) 38
f/d/a/l/v/a.java, line(s) 81,116
f/d/a/l/v/c/j.java, line(s) 20,23
f/d/a/l/v/c/m.java, line(s) 51,61
f/d/a/l/v/c/q.java, line(s) 76
f/d/a/l/v/c/y.java, line(s) 81,88,93
f/d/a/l/v/g/a.java, line(s) 108,120,125,130
f/d/a/l/v/g/d.java, line(s) 17
f/d/a/l/v/g/j.java, line(s) 42
f/d/a/m/e.java, line(s) 37,81,105
f/d/a/m/k.java, line(s) 65
f/d/a/m/l.java, line(s) 207
f/d/a/p/g.java, line(s) 19
f/d/a/p/i/i.java, line(s) 38,84
f/d/a/r/k/a.java, line(s) 44
f/e/a/b/b/d.java, line(s) 191
f/e/a/b/b/f/i.java, line(s) 22
f/e/a/b/f/b/f3.java, line(s) 194
f/e/a/b/f/b/o5.java, line(s) 13
f/e/b/l/j/f.java, line(s) 12
f/f/a/e/a.java, line(s) 91
f/i/d/a/a.java, line(s) 63,70,82,98,108,134,145,127
l/a/a/a/a/b/h0.java, line(s) 418
l/a/b/a/a/a/b/h0.java, line(s) 429

信息 应用程序可以写入应用程序目录。敏感信息应加密 

应用程序可以写入应用程序目录。敏感信息应加密


Files:
f/c/a/b/b/d.java, line(s) 275,309,313,275,309,313
f/c/a/o/d.java, line(s) 151,169,176,347,151,169,176,347
f/c/a/o/i.java, line(s) 71,71

信息 应用与Firebase数据库通信 

该应用与位于 https://apkpure-firebase.firebaseio.com 的 Firebase 数据库进行通信

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
f/e/b/l/j/j/l.java, line(s) 172,172,173

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
j/u.java, line(s) 210,209,218,208,208

安全 Firebase远程配置已禁用 

Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/445297986467/namespaces/firebase:fetch?key=AIzaSyAqCv41AHdy_xRNJT9JF4S47LWws5PqiPM ) 已禁用。响应内容如下所示:

{
    "state": "NO_TEMPLATE"
}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.151.166', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。 

{'ip': '123.129.219.142', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.151.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (update.crashlytics.com) 通信。 

{'ip': '180.163.151.34', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ip.chinaz.com) 通信。 

{'ip': '123.129.219.142', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '济南', 'latitude': '36.668331', 'longitude': '116.997223'}

安全评分: ( APKPure 1.01.2802)