导航菜单

应用安全检测报告

应用安全检测报告,支持文件搜索、内容检索和AI代码分析

移动应用安全检测报告

应用图标

CRICy TV v5.0

Android APK f0a11d5f...
52
安全评分

安全基线评分

52/100

低风险

综合风险等级

风险等级评定
  1. A
  2. B
  3. C
  4. F

应用存在一定安全风险,建议优化

漏洞与安全项分布

1 高危
32 中危
1 信息
2 安全

隐私风险评估

0
第三方跟踪器

隐私安全
未检测到第三方跟踪器


检测结果分布

高危安全漏洞 1
中危安全漏洞 32
安全提示信息 1
已通过安全项 2
重点安全关注 0

高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
p/ka.java, line(s) 43,42

中危安全漏洞 应用已启用明文网络流量

[android:usesCleartextTraffic=true]
应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.ge)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.vzw)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity (q.vzw) 未受保护。

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.ondr)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.ku)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity (q.ku) 未受保护。

[android:exported=true]
检测到  Activity 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.dfdk)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.iz)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Service (q.fnck) 受权限保护,但应检查权限保护级别。

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Content Provider (q.kf) 未受保护。

[android:exported=true]
检测到  Content Provider 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.u$u)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.u$kf)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.u$pl)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.u$r)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.tke$u)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.tke$kf)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.tke$pl)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Activity 设置了 TaskAffinity 属性

(q.tke$r)
设置 taskAffinity 后,其他应用可读取发送至该 Activity 的 Intent。为防止敏感信息泄露,建议保持默认 affinity(包名)。

中危安全漏洞 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
检测到  Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。

Permission: android.permission.DUMP [android:exported=true]
检测到  Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。

中危安全漏洞 Broadcast Receiver (com.kochava.tracker.legacyreferrer.LegacyReferrerReceiver) 未受保护。

[android:exported=true]
检测到  Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。

中危安全漏洞 应用程序使用不安全的随机数生成器

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
p/AbstractC3407.java, line(s) 3
p/C3612.java, line(s) 4
p/au4.java, line(s) 10
p/ct4.java, line(s) 3
p/cu4.java, line(s) 11
p/cv2.java, line(s) 11
p/em4.java, line(s) 8
p/ft4.java, line(s) 4
p/h93.java, line(s) 7
p/ha0.java, line(s) 6
p/i12.java, line(s) 4
p/k12.java, line(s) 3
p/mb1.java, line(s) 3
p/si4.java, line(s) 38
p/uc0.java, line(s) 3
p/vc0.java, line(s) 3

中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
p/bx1.java, line(s) 53
p/kx.java, line(s) 31
p/nb2.java, line(s) 58
p/u43.java, line(s) 13,9,12,10,11
p/x80.java, line(s) 38
p/xx1.java, line(s) 44

中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/dzone/ad/XWebView.java, line(s) 52,49
p/lt4.java, line(s) 65,60

中危安全漏洞 IP地址泄露

IP地址泄露


Files:
p/ok1.java, line(s) 8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39

中危安全漏洞 MD5是已知存在哈希冲突的弱哈希

MD5是已知存在哈希冲突的弱哈希
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
p/gb1.java, line(s) 10
p/h93.java, line(s) 67

中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/dzone/ad/XWebView.java, line(s) 67,49

中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
p/xr0.java, line(s) 5,99,169

中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
p/v90.java, line(s) 12

中危安全漏洞 此应用可能包含硬编码机密信息

从应用程序中识别出以下机密确保这些不是机密或私人信息
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
0123456789ABCDEFGHJKLMNPQRTUWXY
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
7d73d21f1bd82c9e5268b6dcf9fde2cb

安全提示信息 应用程序记录日志信息,不得记录敏感信息

应用程序记录日志信息,不得记录敏感信息
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/aliyun/sls/android/producer/LogProducerHttpTool.java, line(s) 70,73,76
com/kochava/core/log/internal/Logger.java, line(s) 66
p/AbstractC3511.java, line(s) 49
p/AbstractC3817.java, line(s) 126
p/ActivityC3802.java, line(s) 136
p/C3551.java, line(s) 74
p/C3857.java, line(s) 54
p/C3859.java, line(s) 189
p/LayoutInflaterFactory2C3824.java, line(s) 453,470,1611,1613,1615,500,1046,1055,1108,1228,1231,1514
p/RunnableC3550.java, line(s) 33
p/RunnableC3823.java, line(s) 92
p/ah1.java, line(s) 21,28
p/ai3.java, line(s) 20
p/ay0.java, line(s) 30,34,38
p/bc2.java, line(s) 70,75,83,97,71,78,86,100
p/bi3.java, line(s) 18
p/bm1.java, line(s) 135,182
p/c0.java, line(s) 64,147,156,249
p/c9.java, line(s) 26,27
p/ce3.java, line(s) 952,922,951,271
p/cv0.java, line(s) 14,15
p/cv2.java, line(s) 109
p/dd3.java, line(s) 734
p/dj3.java, line(s) 36
p/dr1.java, line(s) 35,48,91,148,195,212,236
p/e61.java, line(s) 350,470,472
p/ee3.java, line(s) 57
p/ej3.java, line(s) 43
p/er.java, line(s) 43,55
p/f61.java, line(s) 34,37
p/g00.java, line(s) 11,10
p/g32.java, line(s) 67
p/g7.java, line(s) 35
p/ga4.java, line(s) 207
p/gf3.java, line(s) 809
p/gx.java, line(s) 16,17
p/gz1.java, line(s) 89,94
p/hn2.java, line(s) 490,17,411,423
p/je0.java, line(s) 77,76
p/jr.java, line(s) 27,30,34
p/jr0.java, line(s) 76,95,94
p/jv0.java, line(s) 180,207,179,206
p/k30.java, line(s) 303
p/k33.java, line(s) 85,94,101,86,95,102,103,104,107
p/kt.java, line(s) 177
p/lb0.java, line(s) 213,633,639,703,779,856,906,926,940,974,992,1052,1091,1094,1178,1183,1189,1204,1214,1225,1232,1327,34,677,682,831,1151,1155,1159,1262,1270
p/lc.java, line(s) 16,15
p/ln2.java, line(s) 102,103
p/lo2.java, line(s) 49,48
p/lq4.java, line(s) 38
p/lv0.java, line(s) 131
p/m00.java, line(s) 159,166,260,270,282,292,315,325,345,352,359,363,366,369,158,165,259,269,281,291,314,324,344,351,358,362,365,368
p/m63.java, line(s) 24
p/mc.java, line(s) 39,38
p/n23.java, line(s) 142,213
p/n50.java, line(s) 53,56,54,57
p/nc.java, line(s) 67,125,131,138,68,126,132,139
p/ng3.java, line(s) 47,55
p/o30.java, line(s) 29,39,70,76,30,71,42,77
p/o63.java, line(s) 35
p/oi1.java, line(s) 21,60
p/ov0.java, line(s) 29,28
p/oy0.java, line(s) 61,67,73,79,85,92,98,113,125,62,68,74,80,86,93,99,126,114
p/p63.java, line(s) 60
p/pi3.java, line(s) 216,233,843,855,862,871,53,207
p/q.java, line(s) 117,122,127,132
p/q23.java, line(s) 31
p/q63.java, line(s) 40
p/qz2.java, line(s) 18,17
p/r00.java, line(s) 67,68
p/r01.java, line(s) 45,87,148,42,86,90,96,102,147,99,103
p/r03.java, line(s) 94,93
p/r63.java, line(s) 60,230
p/r80.java, line(s) 19,165
p/rc0.java, line(s) 49,50
p/rl1.java, line(s) 95,80
p/rr2.java, line(s) 37,36
p/rr4.java, line(s) 35,38,52
p/rz2.java, line(s) 35
p/s3.java, line(s) 47,46
p/sd2.java, line(s) 535,174
p/sz.java, line(s) 304,303,371,420,566
p/t23.java, line(s) 46
p/tf1.java, line(s) 48,47
p/tw0.java, line(s) 20
p/tz.java, line(s) 48,49
p/u31.java, line(s) 95
p/un4.java, line(s) 19
p/up0.java, line(s) 100
p/uu0.java, line(s) 83
p/uv2.java, line(s) 143,192,204,214,433
p/vf3.java, line(s) 45,100,101,46
p/vh4.java, line(s) 143
p/w13.java, line(s) 122,126,130
p/wb2.java, line(s) 80,81
p/wr2.java, line(s) 48,49
p/xh1.java, line(s) 95,150,96,151
p/xh4.java, line(s) 122,169,195
p/xi3.java, line(s) 36,43
p/y63.java, line(s) 76
p/ye1.java, line(s) 360,198,203,343
p/yh1.java, line(s) 134,146,168,218,102,108,115,133,145,167,180,183,201,213,220,106,123,152,181,202
p/yq1.java, line(s) 27
p/yv2.java, line(s) 51,55
p/zf.java, line(s) 31,36,32,39
p/zh3.java, line(s) 12
p/zn1.java, line(s) 28
p/zr0.java, line(s) 147,302
p/zw.java, line(s) 52

已通过安全项 此应用程序可能具有Root检测功能

此应用程序可能具有Root检测功能
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/kochava/tracker/datapoint/internal/DataPointCollectionState.java, line(s) 44,47,47,47,47,47,47

已通过安全项 此应用程序没有隐私跟踪程序

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

综合安全基线评分总结

应用图标

CRICy TV v5.0

Android APK
52
综合安全评分
中风险