应用安全检测报告

应用安全检测报告，支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

Weicon v2.1.4

Android APK 654eeb4f...

安全评分

安全基线评分

61/100

低风险

综合风险等级

风险等级评定

应用安全状况良好，可正常使用

漏洞与安全项分布

0 高危

10 中危

3 信息

2 安全

隐私风险评估

第三方跟踪器

中等隐私风险
检测到少量第三方跟踪器

检测结果分布

高危安全漏洞 0

中危安全漏洞 10

安全提示信息 3

已通过安全项 2

重点安全关注 0

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

MANIFEST

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous，恶意应用可申请并与组件交互；若为 signature，仅同证书签名应用可访问。

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

CODE

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
de/weicon/app/core/MainActivity.java, line(s) 243
de/weicon/app/shared/services/DownloadService.java, line(s) 166

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

CODE

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/tonyodev/fetch2core/FetchCoreUtils.java, line(s) 273,298

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

CODE

文件可能包含硬编码的敏感信息，如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
coil/request/ImageRequest.java, line(s) 351
coil/request/ImageResult.java, line(s) 91
coil/request/Parameters.java, line(s) 164
coil/util/ImageLoaderOptions.java, line(s) 74
com/yariksoffice/lingver/store/PreferenceLocaleStore.java, line(s) 13,15,16,17,18

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

CODE

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/journeyapps/barcodescanner/CaptureManager.java, line(s) 267

中危安全漏洞应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

CODE

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/tonyodev/fetch2/database/FetchDatabaseManagerImpl.java, line(s) 5,182,199

中危安全漏洞应用程序包含隐私跟踪程序

TRACKERS

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户，是终端用户的隐私问题。

中危安全漏洞此应用可能包含硬编码机密信息

SECRETS

从应用程序中识别出以下机密确保这些不是机密或私人信息
谷歌地图的=> "com.google.android.maps.v2.API_KEY" : "@7F1200EE"
"com.google.firebase.crashlytics.mapping_file_id" : "00000000000000000000000000000000"
"firebase_database_url" : "https://weicon-app.firebaseio.com"
"google_api_key" : "AIzaSyDFUNU9OguIYMpQh8IGqob-SWQ1AfOc8yc"
"google_app_id" : "1:157010766346:android:178573d322ea7bc8924df3"
"google_crash_reporting_api_key" : "AIzaSyDFUNU9OguIYMpQh8IGqob-SWQ1AfOc8yc"
"google_maps_api_key" : "AIzaSyCFjKgoIavGCzCHc6RshczRDhFpNgwKQjM"
"library_zxingandroidembedded_author" : "JourneyApps"
"library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/"
4988315bc7b049d9ae8f5865165b95eb
78557adb0b8a4d489704f67f291be05a
b275cb6bf83763945398ddc2d9711db3
946eca6b182e63ebe50cf82e483715bf
83a027d3b9ae493faea492f2932c9b77
158cf1945fbad06835117ab1bab2d6ae
460643a974555d792b8f5a6e1a5d323c

安全提示信息应用程序记录日志信息,不得记录敏感信息

CODE

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/journeyapps/barcodescanner/CameraPreview.java, line(s) 652,679,148,249,350,772,511,752
com/journeyapps/barcodescanner/CaptureManager.java, line(s) 96,117,273
com/journeyapps/barcodescanner/DecoderThread.java, line(s) 119
com/journeyapps/barcodescanner/camera/AutoFocusManager.java, line(s) 69,93,110
com/journeyapps/barcodescanner/camera/CameraInstance.java, line(s) 26,38,53,66,213,30,45,58,70
com/journeyapps/barcodescanner/camera/CameraManager.java, line(s) 53,70,344,355,178,208,247,174,180,261,269
com/journeyapps/barcodescanner/camera/CenterCropStrategy.java, line(s) 28
com/journeyapps/barcodescanner/camera/FitCenterStrategy.java, line(s) 28
com/journeyapps/barcodescanner/camera/LegacyPreviewScalingStrategy.java, line(s) 42,43,73
com/journeyapps/barcodescanner/camera/PreviewScalingStrategy.java, line(s) 22,23
com/tonyodev/fetch2core/FetchLogger.java, line(s) 52,61,69,78
de/weicon/app/api/utils/NetworkBackgroundCall.java, line(s) 108
de/weicon/app/api/validator/JsonSchemaValidator.java, line(s) 54,57,63,66,70
de/weicon/app/components/search/screens/GlobalSearchViewModel.java, line(s) 156,189
de/weicon/app/shared/ui/webview/WebViewFragment.java, line(s) 93
de/weicon/app/shared/utils/ExternalUtils.java, line(s) 293
de/weicon/app/shared/utils/SingleLiveEvent.java, line(s) 22
org/joda/time/tz/DateTimeZoneBuilder.java, line(s) 879,880,905
org/joda/time/tz/ZoneInfoCompiler.java, line(s) 58,59,60,61,62,195,214,227,239,242,247,266,282,338,569
org/koin/android/logger/AndroidLogger.java, line(s) 54,60,62,58

安全提示信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

CODE

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
de/weicon/app/shared/utils/ExternalUtils.java, line(s) 4,129

安全提示信息应用与Firebase数据库通信

FIREBASE

该应用与位于 https://weicon-app.firebaseio.com 的 Firebase 数据库进行通信

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

CODE

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
de/weicon/app/core/koin/modules/NetworkingModuleKt.java, line(s) 113,130,147,164,180,196,212,230,246,278,320

已通过安全项 Firebase远程配置已禁用

FIREBASE

Firebase远程配置URL （ https://firebaseremoteconfig.googleapis.com/v1/projects/157010766346/namespaces/firebase:fetch?key=AIzaSyDFUNU9OguIYMpQh8IGqob-SWQ1AfOc8yc ） 已禁用。响应内容如下所示：

{
    "state": "NO_TEMPLATE"
}

综合安全基线评分总结

Weicon v2.1.4

Android APK

综合安全评分

低风险

导航菜单

应用安全检测报告

移动应用安全检测报告

Weicon v2.1.4

安全基线评分

61/100

综合风险等级

风险等级评定

漏洞与安全项分布

隐私风险评估

第三方跟踪器

检测结果分布

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护，但应检查权限保护级别。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护，但应检查权限保护级别。

中危安全漏洞 应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

中危安全漏洞 文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危安全漏洞 应用程序包含隐私跟踪程序

中危安全漏洞 此应用可能包含硬编码机密信息

安全提示信息 应用程序记录日志信息,不得记录敏感信息

安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全提示信息 应用与Firebase数据库通信

已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击

已通过安全项 Firebase远程配置已禁用

综合安全基线评分总结

Weicon v2.1.4

中危安全漏洞应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据

中危安全漏洞文件可能包含硬编码的敏感信息，如用户名、密码、密钥等

中危安全漏洞应用程序创建临时文件。敏感信息永远不应该被写进临时文件

中危安全漏洞应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

中危安全漏洞应用程序包含隐私跟踪程序

中危安全漏洞此应用可能包含硬编码机密信息

安全提示信息应用程序记录日志信息,不得记录敏感信息

安全提示信息此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它

安全提示信息应用与Firebase数据库通信

已通过安全项此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击