应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告

CRICy TV v5.0
52
安全评分
安全基线评分
52/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
1
高危
32
中危
1
信息
2
安全
隐私风险评估
0
第三方跟踪器
隐私安全
未检测到第三方跟踪器
检测结果分布
高危安全漏洞
1
中危安全漏洞
32
安全提示信息
1
已通过安全项
2
重点安全关注
0
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: p/ka.java, line(s) 43,42
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.ge) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.vzw) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity (q.vzw) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.ondr) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.ku) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity (q.ku) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.dfdk) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.iz) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Service (q.fnck) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Content Provider (q.kf) 未受保护。
[android:exported=true] 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.u$u) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.u$kf) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.u$pl) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.u$r) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.tke$u) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.tke$kf) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.tke$pl) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Activity 设置了 TaskAffinity 属性
(q.tke$r) 设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。
中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.kochava.tracker.legacyreferrer.LegacyReferrerReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: p/AbstractC3407.java, line(s) 3 p/C3612.java, line(s) 4 p/au4.java, line(s) 10 p/ct4.java, line(s) 3 p/cu4.java, line(s) 11 p/cv2.java, line(s) 11 p/em4.java, line(s) 8 p/ft4.java, line(s) 4 p/h93.java, line(s) 7 p/ha0.java, line(s) 6 p/i12.java, line(s) 4 p/k12.java, line(s) 3 p/mb1.java, line(s) 3 p/si4.java, line(s) 38 p/uc0.java, line(s) 3 p/vc0.java, line(s) 3
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: p/bx1.java, line(s) 53 p/kx.java, line(s) 31 p/nb2.java, line(s) 58 p/u43.java, line(s) 13,9,12,10,11 p/x80.java, line(s) 38 p/xx1.java, line(s) 44
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/dzone/ad/XWebView.java, line(s) 52,49 p/lt4.java, line(s) 65,60
中危安全漏洞 IP地址泄露
IP地址泄露 Files: p/ok1.java, line(s) 8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: p/gb1.java, line(s) 10 p/h93.java, line(s) 67
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/dzone/ad/XWebView.java, line(s) 67,49
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: p/xr0.java, line(s) 5,99,169
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: p/v90.java, line(s) 12
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 3082024d308201b6a00302010202044f31d2cb300d06092a864886f70d0101050500306a310b3009060355040613025553311330110603550408130a43616c69666f726e6961311630140603550407130d53616e204672616e636973636f31163014060355040a130d496e7374616772616d20496e63311630140603550403130d4b6576696e2053797374726f6d3020170d3132303230383031343133315a180f32313132303131353031343133315a306a310b3009060355040613025553311330110603550408130a43616c69666f726e6961311630140603550407130d53616e204672616e636973636f31163014060355040a130d496e7374616772616d20496e63311630140603550403130d4b6576696e2053797374726f6d30819f300d06092a864886f70d010101050003818d003081890281810089ebcac015660b42a5c080bf694c52e29e9df83a4c94964b022ca38d2ba2157d8e4650955c787906ac344bdb8b7d202a92231403d48e9e2f0df3cb917cfa9b9741314c85052673d42ad00f2c251be4a6b012fb9d5b33131b0e5ca0b9193856dc311dc65dc45f97d2632e72bec2b4964adfd5d30675d5d372fbaf11359a7afb550203010001300d06092a864886f70d0101050500038181002aefd84526b570192967b679a685bcdc12cf40030589594d04d885cfa8a311372fb93f2c1c8ba636f061aeb87207f5a1ad26fe58747c30714f1e9b918ab2e090d5250307655eeab5fede1e6409316c5d29779c037b550f29bcad40fa70c947b616cc05daa5532c0ecc3ece773a71f37287a4ac32f2bd7feede847cbac5671969 0123456789ABCDEFGHJKLMNPQRTUWXY 30820268308201d102044a9c4610300d06092a864886f70d0101040500307a310b3009060355040613025553310b3009060355040813024341311230100603550407130950616c6f20416c746f31183016060355040a130f46616365626f6f6b204d6f62696c653111300f060355040b130846616365626f6f6b311d301b0603550403131446616365626f6f6b20436f72706f726174696f6e3020170d3039303833313231353231365a180f32303530303932353231353231365a307a310b3009060355040613025553310b3009060355040813024341311230100603550407130950616c6f20416c746f31183016060355040a130f46616365626f6f6b204d6f62696c653111300f060355040b130846616365626f6f6b311d301b0603550403131446616365626f6f6b20436f72706f726174696f6e30819f300d06092a864886f70d010101050003818d0030818902818100c207d51df8eb8c97d93ba0c8c1002c928fab00dc1b42fca5e66e99cc3023ed2d214d822bc59e8e35ddcf5f44c7ae8ade50d7e0c434f500e6c131f4a2834f987fc46406115de2018ebbb0d5a3c261bd97581ccfef76afc7135a6d59e8855ecd7eacc8f8737e794c60a761c536b72b11fac8e603f5da1a2d54aa103b8a13c0dbc10203010001300d06092a864886f70d0101040500038181005ee9be8bcbb250648d3b741290a82a1c9dc2e76a0af2f2228f1d9f9c4007529c446a70175c5a900d5141812866db46be6559e2141616483998211f4a673149fb2232a10d247663b26a9031e15f84bc1c74d141ff98a02d76f85b2c8ab2571b6469b232d8e768a7f7ca04f7abe4a775615916c07940656b58717457b42bd928a2 7d73d21f1bd82c9e5268b6dcf9fde2cb
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/aliyun/sls/android/producer/LogProducerHttpTool.java, line(s) 70,73,76 com/kochava/core/log/internal/Logger.java, line(s) 66 p/AbstractC3511.java, line(s) 49 p/AbstractC3817.java, line(s) 126 p/ActivityC3802.java, line(s) 136 p/C3551.java, line(s) 74 p/C3857.java, line(s) 54 p/C3859.java, line(s) 189 p/LayoutInflaterFactory2C3824.java, line(s) 453,470,1611,1613,1615,500,1046,1055,1108,1228,1231,1514 p/RunnableC3550.java, line(s) 33 p/RunnableC3823.java, line(s) 92 p/ah1.java, line(s) 21,28 p/ai3.java, line(s) 20 p/ay0.java, line(s) 30,34,38 p/bc2.java, line(s) 70,75,83,97,71,78,86,100 p/bi3.java, line(s) 18 p/bm1.java, line(s) 135,182 p/c0.java, line(s) 64,147,156,249 p/c9.java, line(s) 26,27 p/ce3.java, line(s) 952,922,951,271 p/cv0.java, line(s) 14,15 p/cv2.java, line(s) 109 p/dd3.java, line(s) 734 p/dj3.java, line(s) 36 p/dr1.java, line(s) 35,48,91,148,195,212,236 p/e61.java, line(s) 350,470,472 p/ee3.java, line(s) 57 p/ej3.java, line(s) 43 p/er.java, line(s) 43,55 p/f61.java, line(s) 34,37 p/g00.java, line(s) 11,10 p/g32.java, line(s) 67 p/g7.java, line(s) 35 p/ga4.java, line(s) 207 p/gf3.java, line(s) 809 p/gx.java, line(s) 16,17 p/gz1.java, line(s) 89,94 p/hn2.java, line(s) 490,17,411,423 p/je0.java, line(s) 77,76 p/jr.java, line(s) 27,30,34 p/jr0.java, line(s) 76,95,94 p/jv0.java, line(s) 180,207,179,206 p/k30.java, line(s) 303 p/k33.java, line(s) 85,94,101,86,95,102,103,104,107 p/kt.java, line(s) 177 p/lb0.java, line(s) 213,633,639,703,779,856,906,926,940,974,992,1052,1091,1094,1178,1183,1189,1204,1214,1225,1232,1327,34,677,682,831,1151,1155,1159,1262,1270 p/lc.java, line(s) 16,15 p/ln2.java, line(s) 102,103 p/lo2.java, line(s) 49,48 p/lq4.java, line(s) 38 p/lv0.java, line(s) 131 p/m00.java, line(s) 159,166,260,270,282,292,315,325,345,352,359,363,366,369,158,165,259,269,281,291,314,324,344,351,358,362,365,368 p/m63.java, line(s) 24 p/mc.java, line(s) 39,38 p/n23.java, line(s) 142,213 p/n50.java, line(s) 53,56,54,57 p/nc.java, line(s) 67,125,131,138,68,126,132,139 p/ng3.java, line(s) 47,55 p/o30.java, line(s) 29,39,70,76,30,71,42,77 p/o63.java, line(s) 35 p/oi1.java, line(s) 21,60 p/ov0.java, line(s) 29,28 p/oy0.java, line(s) 61,67,73,79,85,92,98,113,125,62,68,74,80,86,93,99,126,114 p/p63.java, line(s) 60 p/pi3.java, line(s) 216,233,843,855,862,871,53,207 p/q.java, line(s) 117,122,127,132 p/q23.java, line(s) 31 p/q63.java, line(s) 40 p/qz2.java, line(s) 18,17 p/r00.java, line(s) 67,68 p/r01.java, line(s) 45,87,148,42,86,90,96,102,147,99,103 p/r03.java, line(s) 94,93 p/r63.java, line(s) 60,230 p/r80.java, line(s) 19,165 p/rc0.java, line(s) 49,50 p/rl1.java, line(s) 95,80 p/rr2.java, line(s) 37,36 p/rr4.java, line(s) 35,38,52 p/rz2.java, line(s) 35 p/s3.java, line(s) 47,46 p/sd2.java, line(s) 535,174 p/sz.java, line(s) 304,303,371,420,566 p/t23.java, line(s) 46 p/tf1.java, line(s) 48,47 p/tw0.java, line(s) 20 p/tz.java, line(s) 48,49 p/u31.java, line(s) 95 p/un4.java, line(s) 19 p/up0.java, line(s) 100 p/uu0.java, line(s) 83 p/uv2.java, line(s) 143,192,204,214,433 p/vf3.java, line(s) 45,100,101,46 p/vh4.java, line(s) 143 p/w13.java, line(s) 122,126,130 p/wb2.java, line(s) 80,81 p/wr2.java, line(s) 48,49 p/xh1.java, line(s) 95,150,96,151 p/xh4.java, line(s) 122,169,195 p/xi3.java, line(s) 36,43 p/y63.java, line(s) 76 p/ye1.java, line(s) 360,198,203,343 p/yh1.java, line(s) 134,146,168,218,102,108,115,133,145,167,180,183,201,213,220,106,123,152,181,202 p/yq1.java, line(s) 27 p/yv2.java, line(s) 51,55 p/zf.java, line(s) 31,36,32,39 p/zh3.java, line(s) 12 p/zn1.java, line(s) 28 p/zr0.java, line(s) 147,302 p/zw.java, line(s) 52
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/kochava/tracker/datapoint/internal/DataPointCollectionState.java, line(s) 44,47,47,47,47,47,47
已通过安全项 此应用程序没有隐私跟踪程序
此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。
综合安全基线评分总结

CRICy TV v5.0
Android APK
52
综合安全评分
中风险