页面标题
页面副标题
移动应用安全检测报告
爱威奶 v7.9.1
44
安全评分
安全基线评分
44/100
中风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
9
高危
28
中危
3
信息
3
安全
隐私风险评估
7
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
9
中危安全漏洞
28
安全提示信息
3
已通过安全项
3
重点安全关注
9
高危安全漏洞 域配置不安全地配置为允许明文流量到达范围内的这些域。
Scope: 127.0.0.1
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=com.avnight.Activity.LandingActivity.LandingActivity][android:host=http://api2.i9999.pw] App Link 资产验证 URL(http://api2.i9999.pw/.well-known/assetlinks.json)未找到或配置不正确。(状态码:None)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。
高危安全漏洞 App 链接 assetlinks.json 文件未找到
[android:name=com.avnight.Activity.LandingActivity.LandingActivity][android:host=https://api2.i9999.pw] App Link 资产验证 URL(https://api2.i9999.pw/.well-known/assetlinks.json)未找到或配置不正确。(状态码:None)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。
高危安全漏洞 Activity(mobi.oneway.sd.core.runtime.proxy.activity.PluginSingleTask1ProxyActivity)易受 Android Task Hijacking/StrandHogg 攻击。
Activity 启动模式为 "singleTask" 时,恶意应用可将自身置于栈顶,导致任务劫持(StrandHogg 1.0),易被钓鱼攻击。建议将启动模式设为 "singleInstance" 或 taskAffinity 设为空(taskAffinity=""),或将 target SDK 版本(26) 升级至 28 及以上以获得平台级防护。
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/avnight/EventTracker/g.java, line(s) 31 com/avnight/tools/f0.java, line(s) 176 com/avnight/webservice/a.java, line(s) 31 mobi/oneway/export/g/a.java, line(s) 35
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: mobi/oneway/sd/core/runtime/ShadowActivity.java, line(s) 48 mobi/oneway/sd/core/runtime/ShadowContext.java, line(s) 224 mobi/oneway/sd/core/runtime/SubDirContextThemeWrapper.java, line(s) 273,273 mobi/oneway/sd/core/runtime/container/GeneratedPluginContainerActivity.java, line(s) 1530
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/amigo/lt/sdk/view/LtNativeView.java, line(s) 124,17,18 com/tapjoy/TJAdUnit.java, line(s) 486,509,748,13 com/tapjoy/TJAdUnitJSBridge.java, line(s) 354,22 com/tapjoy/mraid/view/MraidView.java, line(s) 161,695,704,31,32
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/tapjoy/TapjoyLog.java, line(s) 92,8
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用已启用明文网络流量
[android:usesCleartextTraffic=true] 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Activity-Alias (com.avnight.default) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.realDefault) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.activity) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.general1) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.general2) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.general3) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.line) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.car) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.healthy) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.radio) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.calculator) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Activity-Alias (com.avnight.scale) 未受保护。
存在 intent-filter。 检测到 Activity-Alias 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity-Alias 被显式导出,存在安全风险。
中危安全漏洞 Service (com.avnight.service.MyFirebaseMessagingService) 未受保护。
[android:exported=true] 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.android.gms.gcm.GcmReceiver) 未受保护。
[android:exported=true] 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/amigo/lt/sdk/e/h.java, line(s) 4 d/a/a/a/a.java, line(s) 3 j/a/a/c/z/b.java, line(s) 5
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/amigo/lt/sdk/e/f.java, line(s) 293 com/avnight/NewAdActivityKt.java, line(s) 274 com/avnight/tools/s.java, line(s) 56 com/avnight/webservice/a.java, line(s) 19 com/azhon/appupdate/d/c.java, line(s) 36 com/danikula/videocache/n.java, line(s) 40 j/a/a/a/n/c.java, line(s) 85,93
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/tapjoy/TapjoyConstants.java, line(s) 51,54 com/tapjoy/mraid/view/MraidView.java, line(s) 56 mobi/oneway/sd/core/loader/managers/ComponentManager.java, line(s) 22,23,24,25,26,27,28,29 mobi/oneway/sd/core/runtime/container/DelegateProvider.java, line(s) 4,5 mobi/oneway/sd/core/runtime/container/DelegateProviderHolder.java, line(s) 8
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/journeyapps/barcodescanner/d.java, line(s) 168
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/avnight/Activity/CustomerEventWebActivity/CustomerEventWebActivity.java, line(s) 106,93 com/avnight/Activity/VipWebViewActivity/VipWebViewActivity.java, line(s) 619,606 com/avnight/o/a6.java, line(s) 290,280 com/avnight/o/s6.java, line(s) 319,309 com/avnight/o/y5/i.java, line(s) 269,254 com/tapjoy/TJAdUnitJSBridge.java, line(s) 1139,349
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/avnight/Activity/CustomerEventWebActivity/CustomerEventWebActivity.java, line(s) 91,93 com/avnight/Activity/VipWebViewActivity/VipWebViewActivity.java, line(s) 615,606 com/avnight/o/a6.java, line(s) 278,280 com/avnight/o/s6.java, line(s) 307,309 com/avnight/o/w7.java, line(s) 290,292 com/avnight/o/y5/i.java, line(s) 263,254
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/danikula/videocache/t/a.java, line(s) 6,7,52 com/tapjoy/internal/fj.java, line(s) 6,36,38,107,173,213 com/tapjoy/internal/i.java, line(s) 5,38,64,162 d/c/a/a/i/a0/j/r0.java, line(s) 5,6,91,106,166,295,321,363,445,745 d/c/a/a/i/a0/j/t0.java, line(s) 4,5,127
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/amigo/lt/sdk/e/i.java, line(s) 21 com/avnight/Activity/MaituViewerActivity/u.java, line(s) 94 com/avnight/Activity/PlayerActivity/u0.java, line(s) 487 com/avnight/Activity/SecurityCodeActivity/e.java, line(s) 120 com/avnight/Activity/ShortPlayerActivity/y0.java, line(s) 229 com/avnight/Activity/VideoStorageActivity/f0.java, line(s) 102,194 com/avnight/Activity/VipWebViewActivity/VipWebViewActivity.java, line(s) 728 com/avnight/Activity/VipWebViewActivity/i.java, line(s) 236 com/avnight/o/l8.java, line(s) 154 com/avnight/o/m6.java, line(s) 102 com/avnight/tools/f0.java, line(s) 165 com/avnight/tools/l0.java, line(s) 17 com/avnight/tools/v.java, line(s) 66,77,99,130,205 com/danikula/videocache/q.java, line(s) 12,29 com/tapjoy/TapjoyCache.java, line(s) 221,222,223 com/tapjoy/internal/w.java, line(s) 12 com/tapjoy/mraid/controller/Assets.java, line(s) 116,116,121 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 116,197 com/yalantis/ucrop/util/FileUtils.java, line(s) 103 mobi/oneway/export/g/i.java, line(s) 80 mobi/oneway/sd/core/runtime/ShadowContext.java, line(s) 167 mobi/oneway/sd/core/runtime/SubDirContextThemeWrapper.java, line(s) 183,183 mobi/oneway/sd/core/runtime/container/GeneratedPluginContainerActivity.java, line(s) 1375
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/danikula/videocache/g.java, line(s) 122,326,330,336 j/a/a/c/a.java, line(s) 308,396 j/a/a/c/u.java, line(s) 43 mobi/oneway/export/a/a.java, line(s) 10,12
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/tapjoy/internal/cm.java, line(s) 9
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 融云SDK的=> "RONG_CLOUD_APP_KEY" : "bmdehs6pbqzjs" 凭证信息=> "appKey" : "owbt4hHOJJKSvH4TiF1gy1WLwKfMWYHI" 凭证信息=> "LT_APPKEY" : "45179297f9614e" 凭证信息=> "LT_APPSECRET" : "a5e56f648a224d69" "firebase_database_url" : "https://app-av9-8631e.firebaseio.com" "google_crash_reporting_api_key" : "AIzaSyCl9rvV7COaM_j81LZPG7S9a_zVp_cXcj0" "google_api_key" : "AIzaSyCl9rvV7COaM_j81LZPG7S9a_zVp_cXcj0" "pref_key_passcode_toggle" : "turn_passcode_on_off" "mixpanel_token" : "266b05c861f7ff6d29c32e714bbf4794" "google_app_id" : "1:264795696015:android:6fd11aeadfbc663c62b9fa" nmbKhEpter78GGy+gYgUklEgkiOdhs9lIo9H8l+CUCDcJaHjsdDpf+nw+3cgGvgnkgyDPU2xvb6+L nIVgcHx9/TSaTMfAxkLsx2ywge40J8zV8bP8VYACAQuluULZPjQAAAABJRU5ErkJggg== nbWFnZVJlYWR5ccllPAAAAqNJREFUeNqUlEtrE1EUx8+8EjNT27zTaMw0k6RJGpu+VqIi4k7rQtyK nsLoIMVCpRERCAgfSZXpR2ZVJCEIgaIQm+MdCIkXRTTTnQG0qorCFm21zp+f9+IQ5NHvh4eP7vnOe nWbHLrMTbYBVIb2/vhMvlMttsNurs7CSj0Si32+0W7D0BRMthOKuAS5cw6brEvyCQQk1NTdTY2Eht n1p961QpmjJWOj48/rKysvBsfHz+bm5tji4uLBBBls1nCzaeamUD3F1Tf3dHR8RoFPQ0GgywUCtHe nOPakmwovMTMz81JZWZm+oKDAkJiYGENk3o2NjSVYgsXFxbHc3NxCMXX5KYRkFRU2XzEajQZUxSQS nbW3U1dWlxr6rp6dnJJVKldLpdBEx8kuJYrVeNyAcwE0QBGpubqb29nbq7u7WDgwMjABs39/fz+Ry n67MixouMFLFY7AeOnCuoTsMYkV6vJ41GwxugR1cnNzY2POvr66/qhlzPChlRS0tLHuuv6F74XpCq nkmw287xcKj2eKczZqqZBs97AthKg2N5B48zjvLOnCzJO6LWrV95g330bG6/XtPS0zeo+aLeBoH3n nd15eXmrYqbKmpiZzuNAnRXJ3d7eVStjc3OQo7ZXos7OC5ImjZAA1EE0nSbRarUYulzNoxeCfb/gW e3dec7a4efa23a873441751e9477a7e9511798f8-5 nCdvb2/tJZAfLy8uDyI4pFApmMpkKNRpNJr7rxEaWiaS0NhrQAuk1NTVPoDWDiRmS2RweHrYK9aO0 8ace5ca5da6b9adb3c0f055aad4a98c2aedf4bd7 nbWFnZVJlYWR5ccllPAAAAq5JREFUeNqUlN9LmmEUx4++/ihKy6yZGEMjlExdEjgqQmm78ioGu41g nCnnR4eEhYdd62Wz2MxRtYaYMWI9LyE8YjcZUIl789brdLmFVuLXOxsbGe6vV+g7CglDokSSJqtXq nr98Hoij993E5jgPoAvSjI1A8ngPT0B+JMGIwV263G2RZhulU8lNle/vdyBAWc4XCdijgv7deKr1n nFzsSJB6L6ZnMdHFtZeVFbrbgxBMa/Pi+BaeCeL1eZ3529tWT8vr9iwsLdiKVhka9BqZBuvtDIRJ2 n6irNUuVymeHQARbA5XA4vDirbAYCBQ4NYAIuarXacDQafbK0tJRqNBr32TkIBBxKwAgsKBQKTzgc n877Ped5Xyv4dEYAMSK2rq/tkt9tlXq83Cu9BwC8+zyQ4B5wHLgAG4M7IyAgfHR31FhcXv8F7EXAZ dee95fbbca4eb0236cb6a6f94704caa3 nXpnVan0ZiUSSoiimiCgBP4UXfD4fozpsbW2NhP7+/vdDQ0MvFLBkMnmBfQEuHhwclOHMbDbXhOAM nOV4rVoXx9a0QbjKZjJRKJWm1WjIYDIRRMKJeT/ECQzQazZTLZZ4Vb0D5Tsh1mFqtJp1ORyaTSejr nhgTMAXauAs13gXsgmOMEUEQul4sMBgMx9q8RNnxOPWDlBHa7/TpufQobbn47J0GoZDKZCApJEISJ nTMLGs2AwGIeSAUEoFCKLxUJqtZpEUfyTaJiDapiDU6lUBmKx2CM03YAKiRNAESFg0ul0BJunvWzM ny3QBsSyPMqbcUFX1UrPRqJimyUAOgw2F9GzhOsLQFXNHiBmMRCeXg8FgfG939wtmtLnszMwuJ4gR npBw3LkqubDqdvs1xQNqt1iHucygGshBEh0LQQREBY2fHx8F2HLfkcl1OJKaut1vtCiEGy6M9V/Yg ndBAdSC2HG7SVlJRoT7ssaXt7e+3k5KSLiIiQJgRFMBgUmpzIqE97enq+lJaWhrbciYwRKE+NW32G nB29AZrS2tibX6/XvqVTqdqFQuPUNBcuDC8+09ndxq7wR+yRD6Q+o28IDHMDuCmyr+UOM2+XWJhKN niooKjZjIsVAkJSXdIw1IFyqvt7d3pLy8PCFksXJgYIAPDg5aGxsbs8OzCY2E+vr692tra4LIFovl 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a nbWFnZVJlYWR5ccllPAAAA2NJREFUeNqMVF1Ik1EYPm7TpsIca84pGs6VrboYaeRPpFgXKUzBH4S8 dbcf0f5594b2b3350d640ceedceb697b nLdoEA21azN6NzG9oIGE2bdwERYggrdqI2SLb5G5o0VwYRZGZ0a/zig5WNo4PHF4+5DnvOed9Htnq nu7Ftt+5mBF0Go8sIBvsTtggqGgODboK66aIwNi0lJ7p+2TT89b7Pvo/LaKucHTj4+LzP+bzne855 nCQ6HY8Lr9Tr8fv9ji8Xy6PDw8CKTyUh4LoNzUBkg9l/I4OCg2ePxkNPpfOB2u0cbGhoeQuJZsVjk nUADSo43SMCLKQimS0GKDTqfLys7OvlldXZ2Vnp4uy8nJuZGWlmacnp52ejyeANZ4AB/AQ4kigSQg nPDs7K3Ldm5ubhP9UKBS4vFuzlqtUqnPo+7i0tGTFpeMfqALXjSEijHdF+13BV/MzNjamWVhYyM7P nzzOMcSXw5OSESqUS1ft5/C3AAL39YeI2ufApAAAAAElFTkSuQmCC nVyAicqfTyaHhenNzc1Eo0VF5F2traz+srKwIRFtbW3xoaMjW1tZ2X9Q12WazcZfLxefn53lXV9fb njckH6fkL0/f3NwMPHz8jKxsbAw0AQIABAGYHPKslk98oAAAAAElFTkSuQmCC n+3w+4RkIBPhRHB4e8u3tbd7f38+rqqpM2CcJ1YhKu4Vsvq2urnKIzN1uN3c4HHxqaso1Pj7+Y3d3 nYRg/7e7uvh0eHo7wwsrvE5zP53cQPIr6PMcV+T41NVUZvrog6MTPeDz+BoXn1yI0MzMjLS8v09bW
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/amigo/lt/sdk/a/a.java, line(s) 15,21,47,30,37 com/amigo/lt/sdk/view/LtInterstitialView.java, line(s) 237 com/asha/vrlib/l/a.java, line(s) 30,56,73 com/asha/vrlib/l/e.java, line(s) 84 com/asha/vrlib/p/d/c.java, line(s) 71 com/asha/vrlib/p/d/f.java, line(s) 138 com/avnight/Account/MyPage/s/c0.java, line(s) 121 com/avnight/Account/SignIn/z.java, line(s) 157,184,188,223,242 com/avnight/Activity/AiActorResultActivity/q.java, line(s) 63,95,59,77,91 com/avnight/Activity/ComicViewerActivity/y.java, line(s) 98,131,140 com/avnight/Activity/DLNACastActivity/k.java, line(s) 285,313,330,347,366,548,564,616 com/avnight/Activity/EditMenu/i.java, line(s) 93,158 com/avnight/Activity/FruitPie/FruitPieActivity/FruitPieActivity.java, line(s) 258,270,274,346 com/avnight/Activity/FruitPie/FruitPieActivity/l.java, line(s) 62 com/avnight/Activity/FruitPie/FruitPieListActivity/e.java, line(s) 34 com/avnight/Activity/InviteCodeActivity/c.java, line(s) 175,204 com/avnight/Activity/LandingActivity/LandingActivity.java, line(s) 614 com/avnight/Activity/LandingActivity/n0/k.java, line(s) 140 com/avnight/Activity/LandingActivity/q0.java, line(s) 112,116,122,178,908,187,226,271,473,618,654,719,777 com/avnight/Activity/MaituViewerActivity/u.java, line(s) 188 com/avnight/Activity/MissionActivity/b0.java, line(s) 165 com/avnight/Activity/MissionActivity/g0.java, line(s) 176 com/avnight/Activity/NotificationActivity/g.java, line(s) 54 com/avnight/Activity/OFActorResultActivity/q.java, line(s) 170,66,100,126,147,159,164,168 com/avnight/Activity/OFPhotoViewerActivity/m.java, line(s) 208,234 com/avnight/Activity/PlayerActivity/PlayerActivity.java, line(s) 768,775,1758,1768,1796,1806,2602 com/avnight/Activity/PlayerActivity/u0.java, line(s) 561,562,701 com/avnight/Activity/PromoteActivity/s.java, line(s) 60 com/avnight/Activity/RegalRankActivity/n.java, line(s) 113,132,155 com/avnight/Activity/Search/y.java, line(s) 178,182 com/avnight/Activity/ShortPlayerActivity/c1/p0.java, line(s) 587,596,613,649,799,803,1320,815 com/avnight/Activity/ShortPlayerActivity/y0.java, line(s) 373,374 com/avnight/Activity/TikTokPlayerActivity/j.java, line(s) 40 com/avnight/Activity/TikTokPlayerActivity/l/c.java, line(s) 360 com/avnight/Activity/VideoStorageActivity/c0.java, line(s) 145,151,196,213,214,252,253,274,293,346,376,395 com/avnight/Activity/VideoStorageActivity/f0.java, line(s) 126,138,142,145,437 com/avnight/Activity/VipWebViewActivity/VipWebViewActivity.java, line(s) 396,550 com/avnight/AvNightApplication.java, line(s) 112 com/avnight/NewAdActivityKt.java, line(s) 79,81 com/avnight/fragment/ExclusiveFragment/AmWay/g.java, line(s) 53 com/avnight/fragment/ExclusiveFragment/Recommend/Adapter/ExclusiveActorViewHolder.java, line(s) 235 com/avnight/fragment/MainMenuFragment/MainPageFragment/r/k1.java, line(s) 122 com/avnight/fragment/MainMenuFragment/MainPageFragment/r/o1.java, line(s) 134 com/avnight/fragment/MainMenuFragment/MainPageFragment/r/r0.java, line(s) 67 com/avnight/fragment/MainMenuFragment/MainPageFragment/r/y0.java, line(s) 380,398 com/avnight/fragment/MainMenuFragment/SubscribeFragment2/SubScribeGridLayoutManager.java, line(s) 18,20 com/avnight/fragment/MainMenuFragment/SubscribeFragment2/w.java, line(s) 58,99,128 com/avnight/fragment/MemberFragmen/l0.java, line(s) 40 com/avnight/fragment/SearchFragment/Actor/SearchActorFragment.java, line(s) 90 com/avnight/fragment/SearchFragment/Main/HotListAdapter.java, line(s) 82 com/avnight/fragment/SearchFragment/Video/SearchVideoFragment.java, line(s) 100 com/avnight/l/f8.java, line(s) 211,261 com/avnight/l/u8.java, line(s) 120 com/avnight/m/w.java, line(s) 47 com/avnight/o/a6.java, line(s) 270 com/avnight/o/d9.java, line(s) 167,179 com/avnight/o/r7.java, line(s) 193 com/avnight/o/s6.java, line(s) 298 com/avnight/o/y5/i.java, line(s) 204 com/avnight/q.java, line(s) 84,1570 com/avnight/r/b.java, line(s) 111,124 com/avnight/tools/KtExtensionKt.java, line(s) 262,670 com/avnight/tools/f0.java, line(s) 205,244,274 com/avnight/tools/l0.java, line(s) 33 com/avnight/tools/q0.java, line(s) 42,121,133 com/avnight/tools/z.java, line(s) 80 com/avnight/w/m/f.java, line(s) 133,134 com/avnight/w/m/k/f/a.java, line(s) 49 com/avnight/w/m/k/k/d.java, line(s) 175 com/avnight/w/n/c0/i.java, line(s) 221,278 com/avnight/w/n/g0.java, line(s) 227 com/avnight/w/o/o.java, line(s) 494,626 com/avnight/w/o/q.java, line(s) 176 com/avnight/w/t/e.java, line(s) 126 com/avnight/webservice/AvNightWebService.java, line(s) 249 com/azhon/appupdate/d/d.java, line(s) 23,31,43 com/daasuu/epf/d.java, line(s) 100 com/daasuu/epf/f.java, line(s) 50 com/daasuu/epf/i/a.java, line(s) 21 com/danikula/videocache/f.java, line(s) 13,19,29,40,51 com/journeyapps/barcodescanner/CameraPreview.java, line(s) 566,607,95,256,320,342 com/journeyapps/barcodescanner/d.java, line(s) 88,113,174 com/journeyapps/barcodescanner/h.java, line(s) 87 com/journeyapps/barcodescanner/q/a.java, line(s) 81,104,122 com/journeyapps/barcodescanner/q/b.java, line(s) 68,80,96,115,132,84,103,120,136 com/journeyapps/barcodescanner/q/c.java, line(s) 57,70,292,94,136,166,132,138,176,184 com/journeyapps/barcodescanner/q/g.java, line(s) 28 com/journeyapps/barcodescanner/q/i.java, line(s) 28 com/journeyapps/barcodescanner/q/l.java, line(s) 37,38 com/moat/analytics/mobile/tjy/af.java, line(s) 23,101 com/moat/analytics/mobile/tjy/au.java, line(s) 27 com/moat/analytics/mobile/tjy/bi.java, line(s) 38,186,203,210 com/moat/analytics/mobile/tjy/bj.java, line(s) 14,33,47,18,41 com/moat/analytics/mobile/tjy/bm.java, line(s) 46 com/moat/analytics/mobile/tjy/c.java, line(s) 28 com/moat/analytics/mobile/tjy/e.java, line(s) 34,51,63,79,91 com/moat/analytics/mobile/tjy/f.java, line(s) 80,160 com/moat/analytics/mobile/tjy/n.java, line(s) 40,62,80,95,103,112,46,134 com/moat/analytics/mobile/tjy/w.java, line(s) 30,25 com/moat/analytics/mobile/tjy/x.java, line(s) 32,27,41 com/moat/analytics/mobile/tjy/y.java, line(s) 32,27 com/moat/analytics/mobile/tjy/z.java, line(s) 20 com/ngs/myngsspeedtest/h.java, line(s) 57,54 com/ngs/ngsvideoplayer/LoadingTimer/LoadingTimerLayout.java, line(s) 220 com/ngs/ngsvideoplayer/Player/AV9/VR/Av9VrPlayer.java, line(s) 454,728,741,753,1533,1546,1558,1586,1599,1611 com/ngs/ngsvideoplayer/Player/VR/NgsVrPlayer.java, line(s) 354,368,381,596,610,623,652,666,679 com/ngs/ngsvideoplayer/a/d0.java, line(s) 40 com/ngs/ngsvideoplayer/a/i0.java, line(s) 67,80 com/ngs/ngsvideoplayer/a/k0.java, line(s) 68,81 com/tapjoy/HmacSignature.java, line(s) 29,48 com/tapjoy/TJAdUnit.java, line(s) 151,172,190,232,244,300,482,680,731,735,747,751,806,391,506,557,502,534,545,605,641,647,663,380,402 com/tapjoy/TJAdUnitActivity.java, line(s) 68,75,98,171,201,207,218,228,246,293,299,82,155,187 com/tapjoy/TJAdUnitJSBridge.java, line(s) 157,161,277,449,535,540,564,571,590,601,609,639,648,780,831,861,882,919,929,966,990,1031,1045,1083,1087,1099,1108,134,1134,1129,188,446,766,777,824,846,910,953,1042,1070 com/tapjoy/TJCloseButton.java, line(s) 108 com/tapjoy/TJCorePlacement.java, line(s) 117,259,337,347,387,391,225,238,242,376,191,265,367 com/tapjoy/TJCurrency.java, line(s) 30,77,99,104,123,129,156,158,168,195,197,204,113,161,200 com/tapjoy/TJEventOptimizer.java, line(s) 30,45,68,51,76 com/tapjoy/TJPlacement.java, line(s) 106,146,179,85,169,186,190 com/tapjoy/TJPlacementManager.java, line(s) 141,148,103,107 com/tapjoy/TJSplitWebView.java, line(s) 47,55,70 com/tapjoy/TJWebViewJSInterface.java, line(s) 98,102,46,53,91,132 com/tapjoy/TapjoyAdIdClient.java, line(s) 39 com/tapjoy/TapjoyAppSettings.java, line(s) 24,33,90,94,42,46,67,84,102,107,47 com/tapjoy/TapjoyCache.java, line(s) 78,92,146,229,262,265,275,300,325,328,384,385,386,387,422,428,440,152,172,231,251,284,292,294,409,425,436 com/tapjoy/TapjoyCacheMap.java, line(s) 39,64 com/tapjoy/TapjoyCachedAssetData.java, line(s) 36,46 com/tapjoy/TapjoyConnectCore.java, line(s) 239,553,568,569,667,673,677,704,884,904,910,919,942,968,995,1045,1099,1163,1212,1216,223,236,261,285,308,312,527,556,572,619,680,836,856,1066,1072,1095,1116,1177,1186,1238,295,651,652,654,656,657,658,778,829,888,915,947,965,1027,1049,1230,1064,1070,267,732,812,815 com/tapjoy/TapjoyGpsHelper.java, line(s) 81,83,86,87,92,94,97,102,103 com/tapjoy/TapjoyLog.java, line(s) 91 com/tapjoy/TapjoyURLConnection.java, line(s) 21,30,27,84,101,162,76,104,105,106,109,111,125,126,127,171,172,173,176,178 com/tapjoy/TapjoyUtil.java, line(s) 101,116,117,118,195,69 com/tapjoy/internal/dv.java, line(s) 54,195,247,253,370,234,242,155,189,124,227 com/tapjoy/internal/eo.java, line(s) 46,56 com/tapjoy/internal/ep.java, line(s) 38,55 com/tapjoy/internal/et.java, line(s) 31 com/tapjoy/internal/fc.java, line(s) 112,114 com/tapjoy/internal/fy.java, line(s) 132 com/tapjoy/internal/gh.java, line(s) 156 com/tapjoy/internal/ik.java, line(s) 16 com/tapjoy/mraid/controller/Assets.java, line(s) 116,123,124,125,130,132 com/tapjoy/mraid/controller/Display.java, line(s) 52,70,88,93,118,124,159,203,211,217,99,104 com/tapjoy/mraid/controller/MraidSensor.java, line(s) 30,36,42,55 com/tapjoy/mraid/controller/Network.java, line(s) 67,73 com/tapjoy/mraid/controller/Utility.java, line(s) 34,58,113,117,129 com/tapjoy/mraid/util/MraidPlayer.java, line(s) 52,107 com/tapjoy/mraid/view/Browser.java, line(s) 126,142 com/tapjoy/mraid/view/MraidView.java, line(s) 295,350,359,363,373,433,439,546,661,693,807,818,939,963,1005,1023,1077,1138,1193,1202,1206,1216,1276,1282,1380,1435,1444,1448,1458,1518,1524,169,718,164,469,470,480,487,790,1312,1313,1323,1330,1554,1555,1565,1572,174 com/yalantis/ucrop/UCropActivity.java, line(s) 581 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 100 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 56,98,181,187,201,208,241 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 56,105,115 com/yalantis/ucrop/util/EglUtils.java, line(s) 75 com/yalantis/ucrop/util/FileUtils.java, line(s) 111 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 136,171,181,193,205,210,223,228,242,258,262,267,276,279,284,170,180,192,204,209,222,227,241,257,261,266,275,278,283 com/yalantis/ucrop/view/OverlayView.java, line(s) 121,124 com/yalantis/ucrop/view/TransformImageView.java, line(s) 121,176,204,221 com/zhpan/bannerview/e/a.java, line(s) 36 d/c/a/a/i/y/a.java, line(s) 15,22,29,14,21,28,42,43,49,50 d/c/a/b/b/d/l.java, line(s) 23 d/c/c/a/a/b.java, line(s) 64 d/e/a/a/a.java, line(s) 11,17 d/e/a/a/b.java, line(s) 18,29,40 j/a/a/c/u.java, line(s) 36,61,105,143,152,160,188,206,47,51 mobi/oneway/export/g/n.java, line(s) 61,66,105,85,55,75,101 mobi/oneway/sd/a/a.java, line(s) 48,50,21,24,39,42,30,33 mobi/oneway/sd/core/runtime/container/PluginContainerActivity.java, line(s) 92,279,287 mobi/oneway/sd/core/runtime/container/PluginContainerContentProvider.java, line(s) 28
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/avnight/Activity/PromoteActivity/PromoteActivity.java, line(s) 4,208,209
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://app-av9-8631e.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/danikula/videocache/i.java, line(s) 72,69,74 h/g0/c.java, line(s) 140,139,138,138
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/amigo/lt/sdk/e/i.java, line(s) 9,10
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/264795696015/namespaces/firebase:fetch?key=AIzaSyCl9rvV7COaM_j81LZPG7S9a_zVp_cXcj0 ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (owtk.audioadx.com) 通信。
{'ip': '3.169.137.34', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (av9av9-1318371851.cos.ap-guangzhou.myqcloud.com) 通信。
{'ip': '3.169.137.34', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。
{'ip': '3.169.137.34', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (9ynefxy-1.sbs) 通信。
{'ip': '3.169.137.34', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dev-avnight-cpi.appdev.icu) 通信。
{'ip': '3.169.137.34', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (av9av9-1309454273.cos.ap-guangzhou.myqcloud.com) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '福州', 'latitude': '26.061390', 'longitude': '119.306107'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (owads.audioadx.com) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ads.oneway.mobi) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tl.oneway.mobi) 通信。
{'ip': '47.96.75.198', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
综合安全基线评分总结
爱威奶 v7.9.1
Android APK
44
综合安全评分
中风险