应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
Chanty v0.51.9
61
安全评分
安全基线评分
61/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用安全状况良好,可正常使用
漏洞与安全项分布
0
高危
10
中危
3
信息
2
安全
隐私风险评估
1
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
0
中危安全漏洞
10
安全提示信息
3
已通过安全项
2
重点安全关注
0
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/chanty/plugins/appearance/ChantyAppearance.java, line(s) 20 com/getcapacitor/AppUUID.java, line(s) 12 com/getcapacitor/Bridge.java, line(s) 56,55,57,58 com/getcapacitor/Plugin.java, line(s) 33 io/capawesome/capacitorjs/plugins/badge/Badge.java, line(s) 9 io/sentry/Baggage.java, line(s) 34 io/sentry/RequestDetailsResolver.java, line(s) 22 io/sentry/SpanDataConvention.java, line(s) 4,5,8,9,15,17,16,20,18 io/sentry/TraceContext.java, line(s) 25 io/sentry/protocol/User.java, line(s) 41
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/capacitorjs/plugins/filesystem/Filesystem.java, line(s) 181,183,190 com/getcapacitor/BridgeWebChromeClient.java, line(s) 461 com/getcapacitor/FileUtils.java, line(s) 91 com/getcapacitor/community/media/MediaPlugin.java, line(s) 194 io/sentry/android/core/DeviceInfoUtil.java, line(s) 164,339
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/getcapacitor/BridgeWebChromeClient.java, line(s) 461 com/getcapacitor/community/media/MediaPlugin.java, line(s) 209
中危安全漏洞 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: io/sentry/android/core/internal/util/RootChecker.java, line(s) 22,22,22,22,22
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: io/sentry/util/StringUtils.java, line(s) 70
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "firebase_database_url" : "https://chanty-notifications.firebaseio.com" "google_api_key" : "AIzaSyCKk_xjnD-gso7ORDA8lMtZRyAHQVjvKiA" "google_app_id" : "1:967076036048:android:2ed3c4c381916a64" "google_crash_reporting_api_key" : "AIzaSyCKk_xjnD-gso7ORDA8lMtZRyAHQVjvKiA"
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/capacitor/safearea/SafeArea.java, line(s) 22 com/capacitorjs/plugins/network/NetworkPlugin.java, line(s) 54 com/chanty/chat/MainActivity.java, line(s) 34 com/chanty/plugins/appearance/ChantyAppearance.java, line(s) 29,32,46,47,49,88,94,109,117,120 com/chanty/plugins/appearance/ChantyAppearancePlugin.java, line(s) 16 com/getcapacitor/Logger.java, line(s) 46,80,56,36,66 com/getcapacitor/community/inappreview/InAppReview.java, line(s) 33 com/getcapacitor/community/media/MediaPlugin.java, line(s) 47,49,52,60,62,65,68,74,76,79,87,89,92,100,102,105,142,178,179,200,243,250,267,276,280,285,306,313 io/sentry/SystemOutLogger.java, line(s) 14,22,31 io/sentry/android/core/AndroidLogger.java, line(s) 86,82,74,78,84 io/sentry/android/core/SentryLogcatAdapter.java, line(s) 43,48,78,83,53,58,33,38,63,68,73,88,93,98 io/sentry/android/replay/WindowManagerSpy.java, line(s) 26,86 io/sentry/android/replay/WindowSpy.java, line(s) 26,46 io/sentry/transport/StdoutTransport.java, line(s) 40
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/capacitorjs/plugins/clipboard/Clipboard.java, line(s) 4,29
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://chanty-notifications.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: io/sentry/android/core/DeviceInfoUtil.java, line(s) 139 io/sentry/android/core/internal/util/RootChecker.java, line(s) 40,22,22,22,22,22,22,34
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/967076036048/namespaces/firebase:fetch?key=AIzaSyCKk_xjnD-gso7ORDA8lMtZRyAHQVjvKiA ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
Chanty v0.51.9
Android APK
61
综合安全评分
低风险