应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
星界云手机 v1.7.6
50
安全评分
安全基线评分
50/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
34
中危
2
信息
1
安全
隐私风险评估
4
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
34
安全提示信息
2
已通过安全项
1
重点安全关注
0
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/meizu/c/a.java, line(s) 270
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Activity (com.tencent.tauth.AuthActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.dexterous.flutterlocalnotifications.ScheduledNotificationReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.journeyapps.barcodescanner.CaptureActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.huawei.hms.hmsscankit.ScanKitActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.heytap.msp.push.service.CompatibleDataMessageCallbackService) 受权限保护,但应检查权限保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护,但应检查权限保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (org.android.agoo.vivo.PushMessageReceiverImpl) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.xiaomi.push.service.XMPushService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.jarvan.fluwx.wxapi.FluwxWXEntryActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.chinac.mobile.wxapi.WXEntryActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity-Alias (com.chinac.mobile.wxapi.WXEntryActivity) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity-Alias (com.chinac.mobile.wxapi.WXPayEntryActivity) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.alipay.sdk.app.PayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.alipay.sdk.app.AlipayResultActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(com.umeng.message.notify.UPushMessageNotifyActivity) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity-Alias (com.umeng.message.UMessageNotifyActivity) 未受保护。
[android:exported=true] 检测到 Activity-Alias 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.meizu.cloud.pushsdk.NotificationService) 受权限保护,但应检查权限保护级别。
Permission: com.meizu.cloud.push.permission.MESSAGE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Service (com.vivo.push.sdk.service.CommandClientService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (org.android.agoo.xiaomi.MiPushBroadcastReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护,但应检查权限保护级别。
Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: dev/fluttercommunity/plus/packageinfo/PackageInfoPlugin.java, line(s) 106 org/repackage/a/a/a/a/c.java, line(s) 59
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/baseflow/permissionhandler/PermissionUtils.java, line(s) 17 com/dexterous/flutterlocalnotifications/FlutterLocalNotificationsPlugin.java, line(s) 111 com/dexterous/flutterlocalnotifications/models/NotificationDetails.java, line(s) 49,63 com/huayun/cloud/helper/PushConstants.java, line(s) 11,10,4,7,12,8 com/meituan/android/walle/ChannelReader.java, line(s) 11 com/meizu/c0/a.java, line(s) 130 com/meizu/m/e.java, line(s) 62 net/dongliu/apk/parser/struct/resource/ResourceEntry.java, line(s) 55 org/android/spdy/SpdyProtocol.java, line(s) 43
中危安全漏洞 IP地址泄露
IP地址泄露 Files: net/dongliu/apk/parser/cert/pkcs7/Pkcs7Constants.java, line(s) 5,7,4,6 org/android/spdy/SpdyRequest.java, line(s) 27,53,72,95,120,140,166,185,208,233
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/example/imagegallerysaver/ImageGallerySaverPlugin.java, line(s) 111 com/meizu/k/a.java, line(s) 105,221 com/mr/flutter/plugin/filepicker/FilePickerDelegate.java, line(s) 186
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/jarvan/fluwx/io/ImagesIOIml.java, line(s) 45 com/journeyapps/barcodescanner/CaptureManager.java, line(s) 267
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/mr/flutter/plugin/filepicker/FileUtils.java, line(s) 27 org/android/spdy/SpdyBytePool.java, line(s) 3
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/meizu/m0/b.java, line(s) 4,5,24,30
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/meizu/e0/b.java, line(s) 13 com/meizu/x/b.java, line(s) 603
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 vivo推送的=> "com.vivo.push.api_key" : "91b1f10cbc76ef76ba7d229ba5483b61" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "PbcrgNxt7iP5iZya2uy4B6wtolLtOegP" vivo推送的=> "com.vivo.push.app_id" : "105479843" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=104195759" 凭证信息=> "BUGLY_APP_ID" : "cdcd900ce7" 凭证信息=> "UMENG_APP_ID" : "605b119674e00260862b74cd" vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI" "security_public_key" : "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8hzUojzHX8jDL+97pqr7CaLiKSsZ0aOES7FUcX7vh9PoEDbCKNCTakRXdS5EiurPk3QpvsAGbfyIs7JWKm4py9KcIdJsZRh9onknVeAVlU++jnrGFGEYfQb8iKzClN059gYeeJBs9mwi7RGU9tj0KHUG659v5sMBxv7zNse3fJQIDAQAB" "google_app_id" : "1:849923563846:android:8b8c13e3252caac0d64547" "library_zxingandroidembedded_authorWebsite" : "https://journeyapps.com/" "library_zxingandroidembedded_author" : "JourneyApps" "google_crash_reporting_api_key" : "AIzaSyCLUKRoymfxsASIeNOOMcE6PHYpKNnJfe0" "google_api_key" : "AIzaSyCLUKRoymfxsASIeNOOMcE6PHYpKNnJfe0" bb392ec0-8d4d-11e0-a896-0002a5d5c51b 0781a33309574092a44e6888b070d188 dab05edbc68a9d7c0ab47be476de0d5e 4a2ca769d79f4856bb3bd982d30de790 426ac0b9ede24a4c85a56d024cd3f2b7 c06c8400-8e06-11e0-9cb6-0002a5d5c51b 605b119674e00260862b74cd a54da332f3f44f0980e104d87edde0ec
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/baseflow/permissionhandler/AppSettingsManager.java, line(s) 21 com/baseflow/permissionhandler/PermissionManager.java, line(s) 156,223,227,287,293,296,312 com/baseflow/permissionhandler/PermissionUtils.java, line(s) 324,328,333 com/baseflow/permissionhandler/ServiceManager.java, line(s) 30 com/chavesgu/scan/QRCodeDecoder.java, line(s) 173 com/chavesgu/scan/ScanDrawView.java, line(s) 113 com/chavesgu/scan/ScanViewNew.java, line(s) 131,134 com/cloudwebrtc/webrtc/CameraEventsHandler.java, line(s) 13,17,21,25,29,33 com/cloudwebrtc/webrtc/FlutterRTCVideoRenderer.java, line(s) 141,129,132 com/cloudwebrtc/webrtc/FlutterWebRTCPlugin.java, line(s) 147,154 com/cloudwebrtc/webrtc/GetUserMediaImpl.java, line(s) 173,311,345,395,398,436,547,550,448,467,484,500,220,393,441,459,461,476,126 com/cloudwebrtc/webrtc/MethodCallHandlerImpl.java, line(s) 93,752,765,777,842,847,887,896,902,912,1046,1055,1064,1088,1094,1103,1112,782,786 com/cloudwebrtc/webrtc/OrientationAwareScreenCapturer.java, line(s) 27 com/cloudwebrtc/webrtc/PeerConnectionObserver.java, line(s) 78,154,163,232,240,253,264,358,431 com/cloudwebrtc/webrtc/record/MediaRecorderImpl.java, line(s) 41 com/cloudwebrtc/webrtc/record/VideoFileRenderer.java, line(s) 183,186,196,201,252,257,91,219,237,242,274,308 com/cloudwebrtc/webrtc/utils/MediaConstraintsUtils.java, line(s) 16,27 com/cloudwebrtc/webrtc/utils/RTCAudioManager.java, line(s) 81,92,100,112,117,123,133,138,150,154,168,175,179,235,297,301,311,312,346,366,372,120,140,157,191,233,242 com/cloudwebrtc/webrtc/utils/RTCBluetoothManager.java, line(s) 89,92,100,106,122,132,136,144,146,150,155,160,165,183,218,219,221,226,244,249,263,269,275,281,289,294,298,300,324,329,331,337,343,349,206,211,251,260,141,185,189,193,202 com/cloudwebrtc/webrtc/utils/RTCProximitySensor.java, line(s) 26,33,43,70,73,80,115,61 com/cloudwebrtc/webrtc/utils/RTCUtils.java, line(s) 21 com/fluttercandies/flutter_image_compress/exif/ExifKeeper.java, line(s) 79 com/fluttercandies/flutter_image_compress/ext/BitmapCompressExtKt.java, line(s) 52 com/fluttercandies/flutter_image_compress/logger/LogExtKt.java, line(s) 15 com/github/rmtmckenzie/native_device_orientation/NativeDeviceOrientationPlugin.java, line(s) 102,105 com/huayun/android_packages/AndroidPackagesPlugin.java, line(s) 46,59,134 com/huayun/android_packages/InstallUtil.java, line(s) 43,45 com/huayun/cloud/MapActivity.java, line(s) 295,300,305,310,315,103,112,199,73,193,194,195,196,197,249,254,264,269,135,137,140,142,148,150,153,155,158,160 com/huayun/cloud/MyApplication.java, line(s) 13,17 com/huayun/cloud/helper/PushHelper.java, line(s) 49,44,58 com/jarvan/fluwx/handlers/FluwxRequestHandler.java, line(s) 91,112 com/jarvan/fluwx/handlers/WXAPiHandler.java, line(s) 143,150,157,164,171 com/jarvan/fluwx/io/WeChatNetworkFile$readByteArray$2.java, line(s) 54 com/jarvan/fluwx/utils/WXApiUtils.java, line(s) 47 com/jarvan/fluwx/wxapi/FluwxWXEntryActivity.java, line(s) 35 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 653,680,149,250,351,773,512,753 com/journeyapps/barcodescanner/CaptureManager.java, line(s) 96,117,273 com/journeyapps/barcodescanner/DecoderThread.java, line(s) 118 com/journeyapps/barcodescanner/camera/AutoFocusManager.java, line(s) 70,94,111 com/journeyapps/barcodescanner/camera/CameraConfigurationUtils.java, line(s) 46,63,65,81,84,90,99,118,124,126,133,135,139,144,146,150,161,164,169,174,190,193,198,203,219,225,235,236,240,245,206 com/journeyapps/barcodescanner/camera/CameraInstance.java, line(s) 26,38,53,66,213,30,45,58,70 com/journeyapps/barcodescanner/camera/CameraManager.java, line(s) 52,69,343,354,177,207,246,173,179,260,268 com/journeyapps/barcodescanner/camera/CenterCropStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/FitCenterStrategy.java, line(s) 27 com/journeyapps/barcodescanner/camera/LegacyPreviewScalingStrategy.java, line(s) 42,43,73 com/journeyapps/barcodescanner/camera/PreviewScalingStrategy.java, line(s) 22,23 com/kineapps/flutterarchive/FlutterArchivePlugin$addFilesInDirectoryToZip$3.java, line(s) 103,151 com/kineapps/flutterarchive/FlutterArchivePlugin$onMethodCall$3.java, line(s) 56,67 com/kineapps/flutterarchive/FlutterArchivePlugin$reportProgress$2.java, line(s) 67,72,55 com/kineapps/flutterarchive/FlutterArchivePlugin.java, line(s) 54,62,67,72,76,80,90,120,137,138,147,56,82 com/meizu/d/b.java, line(s) 189,96,132,154,120,177 com/meizu/d/e.java, line(s) 75 com/mr/flutter/plugin/filepicker/FilePickerDelegate.java, line(s) 69,89,95,115,121,187,202,133 com/mr/flutter/plugin/filepicker/FileUtils.java, line(s) 47,61,194,210,211,218,228,233,257,269,82,103,119,142,144,175,186,189,129,200,42 net/dongliu/apk/parser/utils/ResourceFetcher.java, line(s) 54,47,61 org/android/spdy/NetTimeGaurd.java, line(s) 32,41 org/android/spdy/ProtectedPointerTest.java, line(s) 14,21,39 org/android/spdy/spduLog.java, line(s) 12,54,26,19,33,40,47 org/webrtc/audio/WebRtcAudioTrackUtils.java, line(s) 16,20,22,27,36,38,41
安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: top/huic/clipboard_listener/ClipboardListenerPlugin.java, line(s) 14,20,108,108,108,109,110,3,101,121 top/huic/clipboard_listener/CustomOnPrimaryClipChangedListener.java, line(s) 8,8,9,9,13,3
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/849923563846/namespaces/firebase:fetch?key=AIzaSyCLUKRoymfxsASIeNOOMcE6PHYpKNnJfe0 ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
星界云手机 v1.7.6
Android APK
50
综合安全评分
中风险