应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
TruCred v1.1.3
55
安全评分
安全基线评分
55/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
2
高危
17
中危
1
信息
3
安全
隐私风险评估
2
第三方跟踪器
中等隐私风险
检测到少量第三方跟踪器
检测结果分布
高危安全漏洞
2
中危安全漏洞
17
安全提示信息
1
已通过安全项
3
重点安全关注
0
高危安全漏洞 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/datavisorobfus/k0.java, line(s) 29
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: aai/liveness/activity/BuildConfig.java, line(s) 3,5
中危安全漏洞 Activity (com.google.firebase.auth.internal.GenericIdpActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.google.firebase.auth.internal.RecaptchaActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/datavisor/vangogh/storage/local/a.java, line(s) 104 com/datavisor/vangogh/storage/local/b.java, line(s) 13,15 com/datavisorobfus/i.java, line(s) 1450 com/datavisorobfus/l.java, line(s) 187 com/datavisorobfus/p.java, line(s) 286 com/lzy/okgo/convert/FileConvert.java, line(s) 48,56 com/veloz/app/ui/web/CommonWebViewActivity.java, line(s) 190 com/veloz/app/ui/web/CustomWebChromeClient.java, line(s) 41 com/veloz/app/utils/FileUtil.java, line(s) 128 com/wildma/idcardcamera/utils/FileUtils.java, line(s) 55,55
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/veloz/app/ui/home/fragment/FacturaFragment.java, line(s) 869,864 com/veloz/app/ui/home/fragment/MemberFragment.java, line(s) 199,194 com/veloz/app/ui/web/CommonWebViewActivity.java, line(s) 736,731
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: ai/advance/common/utils/SystemUtil.java, line(s) 13 com/amazonaws/retry/PredefinedRetryPolicies.java, line(s) 8 com/datavisor/vangogh/util/ExceptionUtil.java, line(s) 7 com/datavisorobfus/o.java, line(s) 10 com/hjq/permissions/PermissionFragment.java, line(s) 15
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ai/advance/event/DeviceInfo.java, line(s) 51 com/amazonaws/services/s3/AmazonS3Client.java, line(s) 504 com/amazonaws/services/s3/internal/MD5DigestCalculatingInputStream.java, line(s) 15 com/amazonaws/util/Md5Utils.java, line(s) 16
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/datavisor/vangogh/face/DVKeyName.java, line(s) 4,5 com/hjq/permissions/StartActivityManager.java, line(s) 11 com/jeremyliao/liveeventbus/ipc/consts/IpcConst.java, line(s) 5 com/lzy/okgo/cache/CacheEntity.java, line(s) 13,85 com/lzy/okgo/exception/CacheException.java, line(s) 15,11
中危安全漏洞 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/datavisorobfus/c.java, line(s) 94
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/amazonaws/mobileconnectors/s3/transferutility/TransferTable.java, line(s) 3,7,8,9,10,11,15 com/lzy/okgo/db/DBHelper.java, line(s) 4,5,32,33,34,35,46,49,52,55 com/lzy/okgo/db/DBUtils.java, line(s) 4,16,45,73
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/datavisorobfus/e0.java, line(s) 26 com/datavisorobfus/l0.java, line(s) 11,30,47
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/datavisor/vangogh/util/ExceptionUtil.java, line(s) 63 com/datavisorobfus/g.java, line(s) 19 com/datavisorobfus/o.java, line(s) 100
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/datavisorobfus/h.java, line(s) 54,53 com/datavisorobfus/l.java, line(s) 252,251
中危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "google_api_key" : "AIzaSyDujHfunlv922nAS8C7CEERtu4GvkxYqwQ" "google_app_id" : "1:41243651840:android:d9819b8c0cc439cdc14de5" "google_crash_reporting_api_key" : "AIzaSyDujHfunlv922nAS8C7CEERtu4GvkxYqwQ" MJCR3nbjtc8ARKt/AP825zhTxLPuFzw= MJCR3nbjtc8ARKt9HOAI/AZAzrHiEyhubQ== KZGR3Uffq88OW6tuEewC9j5V3A== dI2H2mzZqo8OQIQxI/oZ8itF3Lf7XC57dQ== H6ik7UfoqtAwYIZxE9A68jVW8J/oAjw=
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: ai/advance/common/utils/LogUtil.java, line(s) 22,46,28,52,34,58,40,64 ai/advance/core/RiskInfoInterfaceImpl.java, line(s) 106,545 com/amazonaws/http/AmazonHttpClient.java, line(s) 177 com/amazonaws/mobileconnectors/s3/transferutility/TransferDBBase.java, line(s) 49 com/amazonaws/mobileconnectors/s3/transferutility/TransferProgress.java, line(s) 21 com/amazonaws/mobileconnectors/s3/transferutility/TransferService.java, line(s) 87,133 com/amazonaws/mobileconnectors/s3/transferutility/TransferState.java, line(s) 69 com/amazonaws/mobileconnectors/s3/transferutility/UploadPartTask.java, line(s) 38 com/amazonaws/mobileconnectors/s3/transferutility/UploadTask.java, line(s) 41,111,179 com/jeremyliao/liveeventbus/logger/DefaultLogger.java, line(s) 22,41,12,31,20,39,24,43,16,35 com/lzy/okgo/utils/OkLogger.java, line(s) 42,53,59,65,71 com/pairip/licensecheck/LicenseActivity.java, line(s) 93,71 com/pairip/licensecheck/LicenseClient.java, line(s) 78,91,122,139,169,197,188,113 com/veloz/app/base/BaseLiveData.java, line(s) 30 com/veloz/app/service/CdufIntentService.java, line(s) 463 com/veloz/app/service/MyFirebaseService.java, line(s) 34 com/veloz/app/ui/home/CustomNoScrollViewPager.java, line(s) 23,26,32,36,46 com/veloz/app/utils/Base64Coder.java, line(s) 169 com/veloz/app/utils/DeviceUtils.java, line(s) 17,48 com/veloz/app/utils/FileUtil.java, line(s) 122 com/veloz/app/utils/SALog.java, line(s) 60,19,25,32,39 com/veloz/app/utils/TimeUtils.java, line(s) 12 com/veloz/app/utils/XCrashHandlerUtils.java, line(s) 49,43,51,110 com/veloz/app/view/navmenu/NavMenuLayout.java, line(s) 133,147,161,175,189,203 com/veloz/app/view/widget/CustomEditText.java, line(s) 218 com/wang/avi/AVLoadingIndicatorView.java, line(s) 298 com/wildma/idcardcamera/camera/CameraPreview.java, line(s) 39,162 com/wildma/idcardcamera/cropper/CropOverlayView.java, line(s) 243,291,318,319,338 com/wildma/idcardcamera/utils/ImageUtils.java, line(s) 33 io/github/inflationx/calligraphy3/ReflectionUtils.java, line(s) 27,29 io/github/inflationx/calligraphy3/TypefaceUtils.java, line(s) 51
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/amazonaws/http/UrlHttpClient.java, line(s) 56,62 com/lzy/okgo/https/HttpsUtils.java, line(s) 121,70,87,120,108,119,119 com/veloz/app/http/Repository.java, line(s) 151,329,579,122
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: ai/advance/core/RiskInfoInterfaceImpl.java, line(s) 796,796,799,799
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/41243651840/namespaces/firebase:fetch?key=AIzaSyDujHfunlv922nAS8C7CEERtu4GvkxYqwQ ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
TruCred v1.1.3
Android APK
55
综合安全评分
中风险