应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Adobe Acrobat v15.3
42
安全评分
安全基线评分
42/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
8
高危
14
中危
2
信息
3
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
8
中危安全漏洞
14
安全提示信息
2
已通过安全项
3
重点安全关注
0
高危安全漏洞 Activity (com.adobe.reader.AdobeReader) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(21)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 Activity (com.adobe.reader.viewer.ARViewerActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.adobe.reader.viewer.ARViewerActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(21) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.adobe.reader.viewer.ARSplitPaneActivity) 的启动模式非 standard
Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。
高危安全漏洞 Activity(com.adobe.reader.viewer.ARSplitPaneActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(21) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 Activity (com.adobe.reader.services.cpdf.ARCreatePDFActivity) 易受 StrandHogg 2.0 攻击
检测到 Activity 存在 StrandHogg 2.0 任务劫持漏洞。攻击者可将恶意 Activity 置于易受攻击应用的任务栈顶部,使应用极易成为钓鱼攻击目标。可通过将启动模式设置为 "singleInstance" 并将 taskAffinity 设为空(taskAffinity=""),或将应用的 target SDK 版本(21)升级至 29 及以上,从平台层面修复该漏洞。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/adobe/libs/buildingblocks/utils/k.java, line(s) 81,139,182,233
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/adobe/a/ap.java, line(s) 43,6
中危安全漏洞 Activity (com.adobe.reader.services.cpdf.ARCreatePDFActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.adobe.reader.utils.ARNetworkChangeReceiver) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Broadcast Receiver (com.adobe.reader.fuqeg.Kdoxl) 未受保护。
存在 intent-filter。 检测到 Broadcast Receiver 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Broadcast Receiver 被显式导出,存在安全风险。
中危安全漏洞 Service (com.adobe.reader.fuqeg.Jewdu) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/adobe/a/k.java, line(s) 4,40,41 com/adobe/a/l.java, line(s) 7,180 com/adobe/reader/bookmarks/ARLocalDocUserBookmarkManager.java, line(s) 6,7,8,43,55 com/adobe/reader/filebrowser/Recents/ARRecentsFileDBManager.java, line(s) 7,8,9,96,105,126,1082 com/adobe/reader/services/AROutboxDatabaseManager.java, line(s) 4,5,6,76,92,94,109,110,111,112,113,114,115,116,118
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/adobe/libs/a/a.java, line(s) 30,32,34,48,50,52,68,24,57,69,28,35,45,62,27,58,70,49,54,56,59,60,25,36,31,33,51,53,55,67,61 com/adobe/libs/services/auth/d.java, line(s) 42,20,26,25,27,28,29,32,33,36,35,24,38,39,41,40,55,57,59,60,61,62,63,69 com/adobe/libs/services/i.java, line(s) 19 com/adobe/reader/analytics/ARDCMAnalytics.java, line(s) 123,72,73 com/adobe/reader/bookmarks/ARCloudDocUserBookmarkManager.java, line(s) 20,21,22,23,24,25 com/adobe/reader/emm/AREMMManager.java, line(s) 30,29,28 com/adobe/reader/filebrowser/Recents/ARRecentsFileDBManager.java, line(s) 71 com/adobe/reader/misc/ARFileTransferActivity.java, line(s) 17,18,19,20,21,22,23,24,25,26,27 com/adobe/reader/misc/ARSettingsActivity.java, line(s) 34,44 com/adobe/reader/mobileLink/ARMobileLinkUIManager.java, line(s) 38,37 com/adobe/reader/services/auth/ARServicesAccount.java, line(s) 22,25,28,31,30,38,27 com/adobe/reader/services/signature/ARSignatureServices.java, line(s) 39 com/adobe/reader/viewer/ARDocShareMenu.java, line(s) 21,22
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: a/a/b/a/a/h.java, line(s) 6 com/adobe/libs/a/a.java, line(s) 10 com/adobe/reader/fuqeg/Smbrh.java, line(s) 26
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/adobe/libs/buildingblocks/utils/m.java, line(s) 13 com/adobe/libs/services/b/a.java, line(s) 16 com/adobe/libs/services/h/n.java, line(s) 38 com/adobe/reader/comments/ARInkSignatureHandler.java, line(s) 347 com/adobe/reader/filebrowser/ARFileBrowserUtils.java, line(s) 87,222,465 com/adobe/reader/test/ARAutomation.java, line(s) 49,73 com/adobe/reader/test/ARInAppAutomationHandler.java, line(s) 20 com/adobe/reader/test/AdobeReaderTest.java, line(s) 62
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/adobe/reader/javascript/ARJavaScript.java, line(s) 60,61,62,63,64,65,29 com/adobe/reader/misc/ARCloudPrintActivity.java, line(s) 107,103
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/adobe/a/ca.java, line(s) 193 com/adobe/libs/buildingblocks/utils/BBFileUtils.java, line(s) 252 com/adobe/reader/viewer/ARViewerActivity.java, line(s) 2609,2617
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/adobe/a/ap.java, line(s) 40,39
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/adobe/libs/buildingblocks/utils/BBFileUtils.java, line(s) 186
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/adobe/reader/fuqeg/f.java, line(s) 49
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "IDS_APP_RESTRICTION_ENABLE_PRINTING_KEY_GLB" : "enable_printing" "IDS_APP_RESTRICTION_ENABLE_COPYING_KEY_GLB" : "enable_copying" "IDS_PASSWORD_STR" : "Password" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_PASSWORD_STR" : "Kode" "IDS_AUTHOR_DIALOG_TITLE" : "Forfatternavn" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_ALERT_PASSWORD_FIELD" : "Adgangskodefelt" "IDS_AUTHOR_SETTING_TITLE" : "Forfatternavn" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_jp" "IDS_PASSWORD_STR" : "Passord" "IDS_AUTHOR_DIALOG_TITLE" : "Forfatternavn" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_no" "IDS_ALERT_PASSWORD_FIELD" : "Passordfelt" "IDS_AUTHOR_SETTING_TITLE" : "Forfatternavn" "IDS_PASSWORD_STR" : "Kennwort" "IDS_AUTHOR_DIALOG_TITLE" : "Verfasser" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_de" "IDS_AUTHOR_SETTING_TITLE" : "Verfasser" "IDS_PASSWORD_STR" : "Salasana" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_fi" "IDS_PASSWORD_STR" : "Wachtwoord" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_nl" "IDS_ALERT_PASSWORD_FIELD" : "Wachtwoordveld" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_pl" "IDS_PASSWORD_STR" : "Password" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_kr" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_fr" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_PASSWORD_STR" : "Heslo" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_cz" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_es" "IDS_PASSWORD_STR" : "Password" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_it" "IDS_PASSWORD_STR" : "Senha" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_br" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_cn" "IDS_LCRM_AUTH_PRIVACY_URL" : "http://www.adobe.com/go/lcrm_privacy_named_tw" d54261af-e3b2-4ea4-bed8-fc56d44a9424 b2203b7c-3b79-4a1f-b4cb-267d6c44b832 e2781d2d-5daa-4244-a890-f0cdf6d210f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c4-0422-4e17-84dc-ca93a40ab256 ba8196a2-d36b-4530-8957-8d3dfe2c2837 268aa091-1fc1-4501-98d3-b5cc978c501e 16beINdb352U0cKKFTtnPhGaEEN4fZbU zYcTxlw954qWFqawVm0b6N7Qs29
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/adobe/reader/services/blueheron/ARBlueHeronFileLinkShareView.java, line(s) 4,113 com/adobe/reader/viewer/ARTextSelectionHandler.java, line(s) 4,316
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/adobe/a/cf.java, line(s) 453,455,300,302,392,394 fr/castorflex/android/verticalviewpager/VerticalViewPager.java, line(s) 1628,1634,1084,1096,1100,1126,1137,1139,1148,1154,1155,1162,1282,1488,1490,1508,1509,1514,1697
已通过安全项 此应用程序具有防止窃听攻击的功能
此应用程序具有防止窃听攻击的功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-for-overlay-attacks-mstg-platform-9 Files: com/adobe/libs/services/n.java, line(s) 50
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/adobe/reader/fuqeg/f.java, line(s) 29,31
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结
Adobe Acrobat v15.3
Android APK
42
综合安全评分
中风险