安全分析报告: 阳光分期 v4.1.0

安全分数


安全分数 28/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

0

用户/设备跟踪器


调研结果

高危 31
中危 34
信息 2
安全 2
关注 3

高危 Activity (com.yangguagnf.ui.activitys.JDXF0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.J0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.K0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.I0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MTH0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MTG0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.L0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MTM10ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.mjyp.BMAG01ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.N0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.M0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MT6ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.Q0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.R0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.P0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.O0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.W0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.U0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MT1ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MTT3ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MT9ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MT7ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.Z0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.Y0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.IdCardActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.yangguagnf.ui.activitys.MTM0ACT) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 Activity (com.wildma.pictureselector.PictureSelectActivity) is vulnerable to StrandHogg 2.0 

已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/yangguagnf/ui/activitys/MT10ACT.java, line(s) 244,243
com/yangguagnf/ui/activitys/MT7ACT.java, line(s) 226,225
com/yangguagnf/ui/activitys/MT9ACT.java, line(s) 360,359

高危 已启用远程WebView调试 

已启用远程WebView调试
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing

Files:
com/just/agentweb/AgentWebConfig.java, line(s) 60,10

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
c/e/a/c.java, line(s) 31

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/just/agentweb/UrlLoaderImpl.java, line(s) 70,75,5

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 Activity (com.yangguagnf.ui.activitys.J0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.K0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.I0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MTH0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MTG0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.L0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MTM10ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.mjyp.BMAG01ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.N0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.M0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MT6ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.Q0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.R0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.P0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.O0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.W0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.U0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MT1ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MTT3ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MT9ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MT7ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.Z0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.Y0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.IdCardActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.yangguagnf.ui.activitys.MTM0ACT) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.wildma.pictureselector.PictureSelectActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
c/k/b/d/a/e.java, line(s) 12
faceverify/e.java, line(s) 21

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
a/h/e/b.java, line(s) 64
a/h/i/b.java, line(s) 14,20,20
c/j/a/a.java, line(s) 29,20,28
c/j/a/f.java, line(s) 32
c/k/b/d/a/d.java, line(s) 7
com/just/agentweb/AgentWebUtils.java, line(s) 287,370
com/yangguagnf/gzd/FZGB0Service.java, line(s) 304

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
c/a/a/r/e.java, line(s) 13
c/e/a/s.java, line(s) 162,180
c/f/a/m/g/a.java, line(s) 1302
c/f/a/n/i.java, line(s) 134
com/just/agentweb/AgentWebUtils.java, line(s) 577
faceverify/d.java, line(s) 302,346
faceverify/v.java, line(s) 58,78,118,148,187,217,261

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
c/k/c/b/a.java, line(s) 47
facadeverify/b.java, line(s) 17

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
c/c/a/l/d.java, line(s) 79
c/c/a/l/j/d.java, line(s) 37
c/c/a/l/j/p.java, line(s) 100
c/c/a/l/j/w.java, line(s) 82
faceverify/j.java, line(s) 38,35

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/yangguagnf/ui/activitys/MT8ACT.java, line(s) 54,56

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
凭证信息=> "com.amap.com.yangguagnf.mjyp.app.api.v2.apikey" : "0bsdfvdd0"
fd4ddd72c85fd5fe2913be520df32ed0
w7llxItix5zEhW1Qcm92aWRlck1hcGLHnMSFY8O6xIs=
ZMO8xIdix5zEheehruWummLHnMSFw7nHlsSH
x5pmxJNix5zEhWxpYmppYWd1X3g4Ni5zb2LHnMSFY2HEkw==
w7xkxI1ix5zEhW1Mb2NhbFByb3ZpZGVyYsecxIXDumbEjQ==
x5RmxIvDvMeWxIloZGdoYmRmYy5lamliZWVlZC5iY2FjYWVhZcO8x5bEiWXHlMSL
ZGXEh2LHnMSFYW5kcm9pZC5hcHAuTG9hZGVkQXBrYsecxIVlw7nEhw==
YcO8xIVix5zEheaPkOekumLHnMSFZMecxIU=
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3DtFIIG5OhLgYu4lA3GAx4DAhLyag2HSd2lsr1L66hH9SdefhaknsujWnumk+yNMYlQFdDnJ1Z8A4kj6zLJYRnNLyUeU0tI9uMlPr6AGbdiaV85BoK0YXJY6pxEw3w55ooznTjMswIRyv93o8fBKWx/7mEnsrayE8VITzHroIuQIDAQAB
YseaxI3DvMeWxIk2MWVkMzc3ZTg1ZDM4NmE4ZGZlZTZiODY0YmQ4NWIwYmZhYTVhZjgxw7zHlsSJx5bHmsSN
ZGPEkWLHnMSFbVBhY2thZ2VJbmZvYsecxIXun4jun4jEkQ==
YseWxJNix5zEhWNvbS5zdHViLlN0dWJBcHBix5zEhcO6ZMST
7p+IxavEjWLHnMSFLy5qaWFndS90cnkuZmxhZ2LHnMSFw7run4jEjQ==
YsO6xIdix5zEhS5qaWFndWLHnMSF7p+IxavEhw==
x5THlsSHYsecxIVjb20uc3R1Yi5TdHViQXBwYsecxIXHlseUxIc=
x5RhxJPDvMeWxInlupTnlKjooqvnr6HmlLnvvIzljbPlsIbpgIDlh7rDvMeWxInFq8eaxJM=
x5zHlMSTYsecxIUuamlhZ3Vix5zEhceUxavEkw==
ZseaxIVix5zEhW1QYWNrYWdlSW5mb2LHnMSFw7rFq8SF
x5zDucSVYsecxIVtQXBwbGljYXRpb25JbmZvYsecxIXDvMeYxIE=
w7nHmMSHYsecxIVsaWJqaWFndV94ODZfNjQuc29ix5zEhcWrw7zEhw==
w7zHmMSDYsecxIVhbmRyb2lkLmFwcC5Mb2FkZWRBcGtix5zEhceYx5rEgw==
7p+Ix5jEg2LHnMSFY29tLnN0dWIuU3R1YkFwcGLHnMSFx5jHlMSD
w7zHmMSPYsecxIVsaWJqaWFndV82NC5zb2LHnMSFw7rFq8SP
b20292cc45269854c712
e4dd486b4b304f5c9cf81d342436f4af
w7xkxItix5zEhWN1cnJlbnRBY3Rpdml0eVRocmVhZGLHnMSFx5zHmMSL
YmTEiWLHnMSFc2V0T3V0ZXJDb250ZXh0YsecxIVhw7zEiQ==
x5xmxINix5zEhWxpYmppYWd1X3g4Nl82NC5zb2LHnMSFx5zDvMSD
x5zDusSPYsecxIVtQWxsQXBwbGljYXRpb25zYsecxIXun4hhxI8=
7p+IY8SLYsecxIUvLmppYWd1L3N1Y2Nlc3MuZmxhZ2LHnMSFx5bDucSL
YceaxI9ix5zEhWFuZHJvaWQuY29udGVudC5Db250ZW50UHJvdmlkZXJix5zEhWLFq8SP
w7nHnMSVYsecxIUvLmppYWd1L3N1Y2Nlc3MuZmxhZ2LHnMSFx5jDvMSB
Y8eUxIlix5zEhW1BcHBsaWNhdGlvbmLHnMSFx5phxIk=
ZWTEg2LHnMSFaGRnaGJkZmMuZWppYmVlZWQuYmNhY2FlYWVix5zEhWJhxIM=
YcWrxIlix5zEhWFuZHJvaWQuYXBwLkFjdGl2aXR5VGhyZWFkYsecxIVlxavEiQ==
w7zHmsSRYsecxIVsaWJqaWFndS5zb2LHnMSFw7lixJE=
x5jDucSLYsecxIVtTWFpblRocmVhZGLHnMSFw7zDusSL
f4qgkb85q4pMRMChLeC7uSn2wwTWGXrs
w7nun4jEhWLHnMSFbGliamlhZ3VfeDg2LnNvYsecxIXHmseaxIU=
09ce2f7bfb9243debf2c2efe05a1d047
7504f3f0-aca8-4636-b486-e396559d3efb
Yu6fiMSNYsecxIVtSW5pdGlhbEFwcGxpY2F0aW9uYsecxIXDuWLEjQ==
Y8ecxJVix5zEhWF0dGFjaGLHnMSFx5TDvMSB
w7rHmsSTYsecxIVtQXBwbGljYXRpb25ix5zEhcO8YsST
x5zHlsSPw7zHlsSJNDQ0NDQ0NDQ0NDQ0ODg4ODg4ODg4ODg4ODg4OMO8x5bEie6fiMeaxI8=
w7pjxIVix5zEhWFuZHJvaWQuYXBwLkFjdGl2aXR5VGhyZWFkYsecxIVkw7rEhQ==
ZMeaxI1ix5zEhWFzc2V0cy9kYXRhLnNvYsecxIViZsSN
YcecxJFix5zEhW1Db250ZXh0YsecxIXHlMO6xJE=
ab05c5fe1172477aa023e3046a6abbd2
w7rDvMSVYsecxIV4ODZfNjRix5zEhceWZMSB

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
a/b/k/e.java, line(s) 1239,377,383,869,1264,1466
a/b/k/g.java, line(s) 100
a/b/k/h.java, line(s) 49,59,74,84,101,113,125,134,147,161,173
a/b/k/j.java, line(s) 63,78
a/b/l/a/a.java, line(s) 101
a/b/p/g.java, line(s) 152,198,258
a/b/p/j/i.java, line(s) 396
a/b/p/j/j.java, line(s) 278
a/b/q/b0.java, line(s) 98,136,362,118,171,231,245,298,301,368,371,423
a/b/q/c0.java, line(s) 32
a/b/q/i0.java, line(s) 318,323
a/b/q/k0.java, line(s) 107
a/b/q/l0.java, line(s) 83
a/b/q/n0.java, line(s) 24,35,53,55,57
a/b/q/o.java, line(s) 98,112,126,135,278,455
a/b/q/r.java, line(s) 146
a/b/q/w.java, line(s) 110,142
a/b/q/x.java, line(s) 161,47,59,105,359
a/f/a/a/c.java, line(s) 135
a/f/a/b/a.java, line(s) 44
a/f/a/b/d.java, line(s) 77
a/f/a/b/f.java, line(s) 157,310,442
a/f/a/b/g.java, line(s) 202,204
a/f/a/b/h.java, line(s) 32,61
a/f/a/b/i.java, line(s) 110,115
a/f/a/b/k.java, line(s) 79
a/f/a/b/l.java, line(s) 111
a/f/a/b/m.java, line(s) 176,181,189
a/f/a/b/n.java, line(s) 413
a/f/a/b/q.java, line(s) 384,396,596,648,847,871,200,217,128,241,588,589,637
a/f/a/b/r.java, line(s) 140,142
a/f/a/b/s.java, line(s) 170,172,521
a/f/a/b/t.java, line(s) 371
a/f/b/d.java, line(s) 400
a/f/b/j/d.java, line(s) 303
a/f/c/a.java, line(s) 221,119,196,293
a/f/c/b.java, line(s) 603,1615,982,1074,618,624,1078,1656,1659
a/f/c/f.java, line(s) 100,209
a/h/d/b.java, line(s) 90,232
a/h/d/e.java, line(s) 30
a/h/d/i.java, line(s) 67,81,85
a/h/d/l.java, line(s) 62
a/h/e/d/a.java, line(s) 42
a/h/e/d/b.java, line(s) 74
a/h/e/d/f.java, line(s) 85,93
a/h/f/c.java, line(s) 509,514
a/h/f/e.java, line(s) 70
a/h/f/f.java, line(s) 40,71
a/h/f/g.java, line(s) 52,218
a/h/f/j.java, line(s) 81,84
a/h/f/k.java, line(s) 93
a/h/f/l/a.java, line(s) 97,106,164,174
a/h/f/l/e.java, line(s) 39,62
a/h/i/b.java, line(s) 22
a/h/i/c.java, line(s) 20
a/h/k/b.java, line(s) 38,49,51,62,64,78,81
a/h/l/b.java, line(s) 24
a/h/m/b.java, line(s) 62
a/h/m/b0.java, line(s) 274,286,293,302
a/h/m/c0/c.java, line(s) 138
a/h/m/f.java, line(s) 21,30
a/h/m/h.java, line(s) 14
a/h/m/t.java, line(s) 615
a/h/m/u.java, line(s) 22,33
a/h/m/w.java, line(s) 15,30,51,78,99,120,141
a/h/n/c.java, line(s) 27,36
a/h/n/h.java, line(s) 34,43
a/h/n/i.java, line(s) 296,287
a/j/b/c.java, line(s) 146
a/k/a/a.java, line(s) 478,740,1060,443,452,509,516,616,721,725
a/l/a/a.java, line(s) 53,123,132,142
a/l/a/b.java, line(s) 105
a/l/a/d.java, line(s) 221,226,260,369,374
a/l/a/j.java, line(s) 2031,2032,2040,2048,430,638,681,767,1128,1208,1211,1373,1389,1419,1435,1460,1576,1587,1600,1616,1765,1775,1781,1878,1927,1938,1941,1958,1968,2128,2226,2235,2313,2439,2447
a/l/a/l.java, line(s) 45,56
a/l/a/m.java, line(s) 92
a/o/a/b.java, line(s) 36,51,59,83,43
a/s/f0.java, line(s) 35,44,46
a/s/h.java, line(s) 54,66,81
a/s/p0.java, line(s) 39,120
a/t/a/a/i.java, line(s) 256,259
c/a/a/r/d.java, line(s) 18,29,46
c/c/a/c.java, line(s) 276,285,234,275,282,237
c/c/a/j/a.java, line(s) 300
c/c/a/k/d.java, line(s) 93,121,92,120
c/c/a/k/e.java, line(s) 59,75,92,58,74,91
c/c/a/l/i/b.java, line(s) 56,55
c/c/a/l/i/j.java, line(s) 82,108,81,107,111,117,124,121,125
c/c/a/l/i/l.java, line(s) 57,56
c/c/a/l/i/p/c.java, line(s) 107,106
c/c/a/l/i/p/e.java, line(s) 56,55
c/c/a/l/j/a0/e.java, line(s) 37,43,72,82,38,73,44,85
c/c/a/l/j/a0/i.java, line(s) 128,112
c/c/a/l/j/b0/a.java, line(s) 123,120
c/c/a/l/j/b0/b.java, line(s) 39,38
c/c/a/l/j/h.java, line(s) 515,333,347,514,462
c/c/a/l/j/i.java, line(s) 58,59
c/c/a/l/j/k.java, line(s) 16,162
c/c/a/l/j/y.java, line(s) 85,86
c/c/a/l/j/z/j.java, line(s) 164,203,165,204
c/c/a/l/j/z/k.java, line(s) 106,118,191,226,105,117,144,151,172,190,200,215,225,145,152,178,201,216
c/c/a/l/k/c.java, line(s) 16,15
c/c/a/l/k/d.java, line(s) 46,45
c/c/a/l/k/f.java, line(s) 103,102
c/c/a/l/k/s.java, line(s) 91,94
c/c/a/l/k/t.java, line(s) 37,36
c/c/a/l/l/a.java, line(s) 80,81
c/c/a/l/l/d/d.java, line(s) 14,15
c/c/a/l/l/d/k.java, line(s) 187,317,176,186,316,403,428,177,252,404
c/c/a/l/l/d/l.java, line(s) 41,47,42,48
c/c/a/l/l/d/p.java, line(s) 123,124
c/c/a/l/l/d/x.java, line(s) 107,112,124,133,140,108,113,125,134,141,142,143,147
c/c/a/l/l/d/z.java, line(s) 167,164
c/c/a/l/l/h/a.java, line(s) 63,88,93,98,64,89,94,99
c/c/a/l/l/h/d.java, line(s) 21,22
c/c/a/l/l/h/j.java, line(s) 40,43
c/c/a/m/e.java, line(s) 36,35,62,78,63,79
c/c/a/m/f.java, line(s) 12,11
c/c/a/m/k.java, line(s) 157,158,166
c/c/a/m/m.java, line(s) 92,93
c/c/a/m/n.java, line(s) 149,156,150,157
c/c/a/n/e.java, line(s) 53,60,71,76,52,59,64,70,75,65
c/c/a/p/g.java, line(s) 105,17,428,452
c/c/a/p/i/i.java, line(s) 55,137,138,56
c/c/a/q/b.java, line(s) 19
c/c/a/r/l/a.java, line(s) 63,64
c/e/a/i.java, line(s) 322
c/e/a/s.java, line(s) 152,147
c/f/a/m/g/a.java, line(s) 1236,1237,1238,1239
c/g/a/a/d0/a.java, line(s) 554
c/g/a/a/f0/d.java, line(s) 139,171
c/g/a/a/g0/b.java, line(s) 78
c/g/a/a/i0/h.java, line(s) 523
c/g/a/a/m/h.java, line(s) 52
c/k/a/a.java, line(s) 105,54,39
c/k/b/d/d/a.java, line(s) 37
com/contrarywind/view/WheelView.java, line(s) 361
com/just/agentweb/AgentWebUtils.java, line(s) 152,125,126,132,145
com/just/agentweb/AgentWebView.java, line(s) 60,88,98,280,42,268,272
com/just/agentweb/DefaultChromeClient.java, line(s) 260,266
com/just/agentweb/JsCallJava.java, line(s) 133,66,42,81
com/just/agentweb/JsCallback.java, line(s) 69
com/just/agentweb/LogUtils.java, line(s) 10,26,39,16,34
com/liaoinstan/springview/widget/SpringHelper.java, line(s) 32
com/wildma/pictureselector/PictureSelectActivity.java, line(s) 115,118
com/yangguagnf/gzd/FZGBReceiver.java, line(s) 38,41,47,49,52,58
com/yangguagnf/ui/activitys/MT10ACT.java, line(s) 252,272
com/yangguagnf/ui/activitys/MT7ACT.java, line(s) 233,255,235,257
com/yangguagnf/ui/activitys/MT8ACT.java, line(s) 28
com/yangguagnf/ui/activitys/MT9ACT.java, line(s) 135,141,367,371,388
com/yangguagnf/ui/activitys/W0ACT.java, line(s) 1223,1263
e/a.java, line(s) 12
e/b.java, line(s) 12
h/a/a/f.java, line(s) 28,33
i/n/d/e.java, line(s) 24
i/q/c.java, line(s) 231

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/yangguagnf/ui/activitys/N0ACT.java, line(s) 4,164

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
c/k/b/d/a/a.java, line(s) 66,66,75
c/k/b/d/a/b.java, line(s) 111,111,120

安全 此应用程序没有隐私跟踪程序 

此应用程序不包括任何用户或设备跟踪器。在静态分析期间没有找到任何跟踪器。

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (axzcvfeq-1324028813.cos.ap-guangzhou.myqcloud.com) 通信。 

{'ip': '27.155.119.181', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (nice800.com) 通信。 

{'ip': '27.155.119.181', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zxcvasdf-1326306285.cos.ap-guangzhou.myqcloud.com) 通信。 

{'ip': '27.155.119.166', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}

安全评分: ( 阳光分期 4.1.0)