我们项目是 uni-app Android App,当前使用 HBuilderX 5.07 进行云打包,已升级到最新 HBuilderX / DCloud Runtime 后重新打包 APK,并使用 MobSF 重新扫描。
基础信息:
- HBuilderX 版本:5.07
- App 类型:uni-app Android App
- 包名:com.neusoft.hkgl
- AppID:UNIFFDA11F
- targetSdkVersion:34
- minSdkVersion:29
- 打包方式:HBuilderX 云打包
- APK 类型:Release 包,非自定义调试基座
- 已确认主应用 android:debuggable=false,android:allowBackup=false
- 已配置 network_security_config,base-config 已禁止 cleartext traffic,并仅信任 system certificates
目前 MobSF 仍扫描出以下问题,主要指向 DCloud Runtime / 三方 SDK 代码:
- Insecure SSL / Trust all certificates
MobSF 指向:- io/dcloud/common/adapter/util/DCloudTrustManager.java
- io/dcloud/feature/weex/adapter/DCWXHttpAdapter.java
请问:
这些类在 Release 云打包产物中是否会实际信任所有证书?
是否属于静态扫描误报?
如果不是误报,HBuilderX 5.07 / 当前 DCloud Runtime 是否已有修复版本?
如果属于误报,是否可以提供官方说明或建议的整改说明?
- SharedPreference World Writable / World Readable
MobSF 指向:- io/dcloud/common/util/TestUtil.java
- io/dcloud/common/adapter/util/PermissionUtil.java
请问:
这些 SharedPreferences 是否会在 Release 包中以 MODE_WORLD_READABLE / MODE_WORLD_WRITEABLE 方式实际创建?
HBuilderX 5.07 最新 Runtime 是否已修复?
如果是历史兼容代码或误报,是否可以提供官方说明?
- AES CBC + PKCS5/PKCS7 padding
MobSF 指向:- io/dcloud/p/d.java
请问:
该加密逻辑在 DCloud Runtime 中具体用于什么场景?
是否涉及用户敏感数据、网络传输或本地持久化?
是否有认证加密或完整性校验?
如果安全报告要求整改为 AES-GCM 或 CBC + HMAC,DCloud 官方建议如何处理?
- android:usesCleartextTraffic=true
我们已配置 network_security_config,MobSF 的 Network Security 部分显示:
Base config is configured to disallow clear text traffic to all domains。
但是 Manifest Analysis 仍显示:
android:usesCleartextTraffic=true
请问:
HBuilderX 云打包中如何彻底将主 application 的 android:usesCleartextTraffic 设置为 false?
manifest.json 或自定义 AndroidManifest.xml 中配置后,云打包最终产物仍可能保留 true,是否是 DCloud Runtime 默认值?
官方推荐的配置方式是什么?
- ProfileInstallReceiver exported=true
MobSF 显示:
androidx.profileinstaller.ProfileInstallReceiver exported=true
我们尝试通过自定义 AndroidManifest.xml 使用 tools:node="remove" 移除,但云打包最终 APK 中仍存在。
尝试强制设置 exported=false / enabled=false 时,云打包出现 Manifest merge 冲突。
请问:
HBuilderX 云打包是否支持移除或覆盖该 receiver?
是否需要 DCloud Runtime / AndroidX 依赖侧处理?
如果无法处理,是否可提供官方风险说明?
期望结果:
请 DCloud 官方确认以上问题:
- 哪些属于 HBuilderX / DCloud Runtime 已知问题;
- 哪些属于静态扫描误报;
- 是否有具体修复版本或升级路径;
- 云打包是否支持相关 Manifest 覆盖;
- 如果暂时无法修复,是否可以提供官方说明,供我们提交给渗透测试 / 安全审计方作为复测依据。