安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
9
中危
45
信息
2
安全
2
关注
23
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/ehking/sdk/wepay/utlis/AESHelper.java, line(s) 190 p/a/y/e/a/s/e/net/ad2.java, line(s) 24 p/a/y/e/a/s/e/net/f30.java, line(s) 44,96 p/a/y/e/a/s/e/net/io2.java, line(s) 14 p/a/y/e/a/s/e/net/je1.java, line(s) 27,63 p/a/y/e/a/s/e/net/p4.java, line(s) 44,81 p/a/y/e/a/s/e/net/vd1.java, line(s) 40
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/getmessage/module_base/web/WebViewHelper.java, line(s) 316,311 com/getmessage/module_base/web/x5WebViewHelper.java, line(s) 310,305 p/a/y/e/a/s/e/net/eb2.java, line(s) 145,222
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: p/a/y/e/a/s/e/net/y3.java, line(s) 35,88,95
高危 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: p/a/y/e/a/s/e/net/ad2.java, line(s) 24 p/a/y/e/a/s/e/net/dd1.java, line(s) 13,24
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/getmessage/module_base/web/WebViewHelper.java, line(s) 263,252,253,254,255,256,257,258,259,260,261,262,263,264,291,292,295,315 com/getmessage/module_base/web/x5WebViewHelper.java, line(s) 257,246,247,248,249,250,251,252,253,254,255,256,257,258,285,286,289,309
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: p/a/y/e/a/s/e/net/gd2.java, line(s) 9,10,11,4
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/ehking/sdk/wepay/ui/activity/BindCardWebActivity.java, line(s) 87,12,13
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
p/a/y/e/a/s/e/net/e.java, line(s) 32
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: p/a/y/e/a/s/e/net/gg2.java, line(s) 112
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Broadcast Receiver (com.getmessage.module_base.broadReceiver.DateTimeReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.getmessage.lite.broadReceiver.NoticeReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.getmessage.lite.service.HWPushService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Service (com.getmessage.lite.service.JPUSHService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Broadcast Receiver (com.getmessage.lite.broadReceiver.JPUSHReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.xiaomi.push.service.receivers.PingReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.getmessage.lite.broadReceiver.XiaoMiReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.heytap.mcssdk.PushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.mcssdk.AppPushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.getmessage.lite.broadReceiver.MeizuPushMsgReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity设置了TaskAffinity属性
(com.im.im.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (com.blankj.utilcode.util.MessengerUtils$ServerService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushMsgReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.yecskn.dose.mdmz.mokxg.permission.PROCESS_PUSH_MSG [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.huawei.hms.support.api.push.PushReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.yecskn.dose.mdmz.mokxg.permission.PROCESS_PUSH_MSG [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Service (cn.jpush.android.service.PushService) 未被保护。
存在一个intent-filter。 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。
中危 Broadcast Receiver (cn.jpush.android.service.PushReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.JNotifyActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (com.meizu.cloud.pushsdk.SystemReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryChargingProxy) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$BatteryNotLowProxy) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$StorageNotLowProxy) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxy$NetworkStateProxy) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.RescheduleReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (androidx.work.impl.background.systemalarm.ConstraintProxyUpdateReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/ehking/sdk/wepay/constant/ConfigConstants.java, line(s) 8 com/ehking/sdk/wepay/interfaces/WalletPay.java, line(s) 905,906,3725,3726 com/ehking/sdk/wepay/utlis/ImageUtil.java, line(s) 291,304 com/ehking/sdk/wepay/utlis/PhotoUtils.java, line(s) 168 com/getmessage/lite/app/LiteApplication.java, line(s) 216,230,273,303 com/getmessage/module_base/utils/video_recorder/VideoRecorderActivity.java, line(s) 361,467 com/getmessage/module_base/web/FileManager.java, line(s) 86,138,142,242 com/huawei/rtc/internal/HRTCEngineImpl.java, line(s) 67 com/livedetect/application/CrashHandler.java, line(s) 69 com/livedetect/utils/FileUtils.java, line(s) 45,555 com/livedetect/utils/SdUtils.java, line(s) 30,34 com/livedetect/utils/SysLogService.java, line(s) 53,54 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 911 p/a/y/e/a/s/e/net/b30.java, line(s) 71 p/a/y/e/a/s/e/net/b7.java, line(s) 75 p/a/y/e/a/s/e/net/bd2.java, line(s) 36 p/a/y/e/a/s/e/net/bn.java, line(s) 13,37 p/a/y/e/a/s/e/net/bs1.java, line(s) 322 p/a/y/e/a/s/e/net/e11.java, line(s) 181,183,446,448 p/a/y/e/a/s/e/net/e8.java, line(s) 70,70,120 p/a/y/e/a/s/e/net/ec2.java, line(s) 50 p/a/y/e/a/s/e/net/f62.java, line(s) 46 p/a/y/e/a/s/e/net/fl.java, line(s) 541 p/a/y/e/a/s/e/net/fu2.java, line(s) 213 p/a/y/e/a/s/e/net/gh2.java, line(s) 27 p/a/y/e/a/s/e/net/gs1.java, line(s) 157 p/a/y/e/a/s/e/net/hd2.java, line(s) 552,899,239,1186,1186 p/a/y/e/a/s/e/net/hq1.java, line(s) 54 p/a/y/e/a/s/e/net/i.java, line(s) 40 p/a/y/e/a/s/e/net/i11.java, line(s) 38 p/a/y/e/a/s/e/net/i7.java, line(s) 193 p/a/y/e/a/s/e/net/ic2.java, line(s) 166 p/a/y/e/a/s/e/net/id0.java, line(s) 124,160 p/a/y/e/a/s/e/net/j.java, line(s) 41 p/a/y/e/a/s/e/net/jt1.java, line(s) 62,84 p/a/y/e/a/s/e/net/kt0.java, line(s) 190 p/a/y/e/a/s/e/net/mc2.java, line(s) 49 p/a/y/e/a/s/e/net/mh2.java, line(s) 11,23,32 p/a/y/e/a/s/e/net/ob2.java, line(s) 174 p/a/y/e/a/s/e/net/pt1.java, line(s) 62,107 p/a/y/e/a/s/e/net/pv2.java, line(s) 9 p/a/y/e/a/s/e/net/qe2.java, line(s) 223 p/a/y/e/a/s/e/net/qt1.java, line(s) 45,76,79,81,202,210,229,334,334,334,349,357,365,73,231,262,262 p/a/y/e/a/s/e/net/qv2.java, line(s) 9 p/a/y/e/a/s/e/net/r11.java, line(s) 188 p/a/y/e/a/s/e/net/r8.java, line(s) 78,140 p/a/y/e/a/s/e/net/rb2.java, line(s) 56 p/a/y/e/a/s/e/net/rd0.java, line(s) 104 p/a/y/e/a/s/e/net/re2.java, line(s) 27 p/a/y/e/a/s/e/net/rl2.java, line(s) 42,48 p/a/y/e/a/s/e/net/sc2.java, line(s) 20,26 p/a/y/e/a/s/e/net/sd0.java, line(s) 103 p/a/y/e/a/s/e/net/sh2.java, line(s) 29,86 p/a/y/e/a/s/e/net/t4.java, line(s) 376,377,785 p/a/y/e/a/s/e/net/uk2.java, line(s) 160 p/a/y/e/a/s/e/net/vk2.java, line(s) 150 p/a/y/e/a/s/e/net/vo2.java, line(s) 79,194,325,466,661 p/a/y/e/a/s/e/net/wi2.java, line(s) 44,78,83 p/a/y/e/a/s/e/net/wk2.java, line(s) 41 p/a/y/e/a/s/e/net/wl2.java, line(s) 46,154 p/a/y/e/a/s/e/net/x7.java, line(s) 27,31,35,39,43,59,83,99,107,143,159,55,67,75,91,95,103,115,119,127,135,147,163 p/a/y/e/a/s/e/net/xl.java, line(s) 12,25 p/a/y/e/a/s/e/net/y4.java, line(s) 12,24,28 p/a/y/e/a/s/e/net/y40.java, line(s) 10,14 p/a/y/e/a/s/e/net/yc2.java, line(s) 122,123 p/a/y/e/a/s/e/net/zk2.java, line(s) 45
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/ehking/sdk/wepay/ui/view/keyboard/KeyboardView.java, line(s) 20 com/getmessage/lite/view/TestActivity.java, line(s) 28 com/livedetect/LiveDetectActivity.java, line(s) 65 com/payeasenet/wepay/ui/viewModel/AcceptModel.java, line(s) 15 com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 14 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 23 org/greenrobot/greendao/test/DbTest.java, line(s) 7 p/a/y/e/a/s/e/net/a3.java, line(s) 16 p/a/y/e/a/s/e/net/ca2.java, line(s) 6 p/a/y/e/a/s/e/net/co2.java, line(s) 3 p/a/y/e/a/s/e/net/f11.java, line(s) 18 p/a/y/e/a/s/e/net/fq3.java, line(s) 16 p/a/y/e/a/s/e/net/ic2.java, line(s) 22 p/a/y/e/a/s/e/net/j4.java, line(s) 38 p/a/y/e/a/s/e/net/oj2.java, line(s) 14 p/a/y/e/a/s/e/net/si2.java, line(s) 10 p/a/y/e/a/s/e/net/t92.java, line(s) 6 p/a/y/e/a/s/e/net/v62.java, line(s) 8 p/a/y/e/a/s/e/net/x40.java, line(s) 3 p/a/y/e/a/s/e/net/y3.java, line(s) 6 p/a/y/e/a/s/e/net/y92.java, line(s) 6
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/livedetect/utils/PgpUtil.java, line(s) 136 p/a/y/e/a/s/e/net/f11.java, line(s) 39 p/a/y/e/a/s/e/net/ke1.java, line(s) 30 p/a/y/e/a/s/e/net/mt.java, line(s) 32 p/a/y/e/a/s/e/net/o4.java, line(s) 11 p/a/y/e/a/s/e/net/oe1.java, line(s) 26 p/a/y/e/a/s/e/net/p4.java, line(s) 43,80 p/a/y/e/a/s/e/net/q4.java, line(s) 48 p/a/y/e/a/s/e/net/qi2.java, line(s) 18 p/a/y/e/a/s/e/net/si2.java, line(s) 107 p/a/y/e/a/s/e/net/td1.java, line(s) 19
中危 IP地址泄露
IP地址泄露 Files: com/ehking/sdk/wepay/net/client/HttpDnsHelper.java, line(s) 5 com/ehking/sdk/wepay/utlis/NetUtils.java, line(s) 57 com/getmessage/lite/view/TestActivity.java, line(s) 155,153,150,151 com/payeasenet/wepay/utlis/NetUtils.java, line(s) 126 io/netty/resolver/dns/DefaultDnsServerAddressStreamProvider.java, line(s) 41,41 p/a/y/e/a/s/e/net/ff1.java, line(s) 52 p/a/y/e/a/s/e/net/fy1.java, line(s) 12 p/a/y/e/a/s/e/net/kf1.java, line(s) 10 p/a/y/e/a/s/e/net/li2.java, line(s) 443 p/a/y/e/a/s/e/net/mv2.java, line(s) 20 p/a/y/e/a/s/e/net/pg1.java, line(s) 33 p/a/y/e/a/s/e/net/qh2.java, line(s) 5 p/a/y/e/a/s/e/net/r82.java, line(s) 112 p/a/y/e/a/s/e/net/rm.java, line(s) 21
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/payeasenet/service/sdk/ui/activity/ServicesWebActivity.java, line(s) 217 p/a/y/e/a/s/e/net/kv2.java, line(s) 37
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/greendao/ConversationBeanDao.java, line(s) 4,83 com/greendao/FriendBeanDao.java, line(s) 4,66 com/greendao/GroupBeanDao.java, line(s) 4,59 com/greendao/HeadImageBeanDao.java, line(s) 4,34 com/greendao/HistoryMsgBeanTaskDao.java, line(s) 4,44 com/greendao/OfflineMsgCurrentSmsgIdBeanDao.java, line(s) 4,36 com/greendao/OfflineMsgTaskInfoBeanDao.java, line(s) 4,51 com/greendao/SnapchatMsgBeanDao.java, line(s) 4,45 com/greendao/UserInfoBeanDao.java, line(s) 4,97 org/greenrobot/greendao/AbstractDao.java, line(s) 6,7,430 org/greenrobot/greendao/DbUtils.java, line(s) 6,43 org/greenrobot/greendao/database/StandardDatabase.java, line(s) 5,64 p/a/y/e/a/s/e/net/g61.java, line(s) 5,118 p/a/y/e/a/s/e/net/gx.java, line(s) 7,8,9,87 p/a/y/e/a/s/e/net/hc2.java, line(s) 6,7,250 p/a/y/e/a/s/e/net/hz0.java, line(s) 5,6,389 p/a/y/e/a/s/e/net/nn.java, line(s) 6,7,81 p/a/y/e/a/s/e/net/up2.java, line(s) 5,6,25 p/a/y/e/a/s/e/net/xy0.java, line(s) 4,38
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/ehking/sdk/wepay/utlis/DeviceUtils.java, line(s) 24,67 com/ehking/sdk/wepay/utlis/SystemUtils.java, line(s) 32 p/a/y/e/a/s/e/net/ed2.java, line(s) 257 p/a/y/e/a/s/e/net/ek2.java, line(s) 19 p/a/y/e/a/s/e/net/fr1.java, line(s) 95 p/a/y/e/a/s/e/net/hd2.java, line(s) 771,798 p/a/y/e/a/s/e/net/hz1.java, line(s) 411,657 p/a/y/e/a/s/e/net/j4.java, line(s) 456 p/a/y/e/a/s/e/net/l7.java, line(s) 385 p/a/y/e/a/s/e/net/n7.java, line(s) 768 p/a/y/e/a/s/e/net/ri2.java, line(s) 22 p/a/y/e/a/s/e/net/s30.java, line(s) 15 p/a/y/e/a/s/e/net/si2.java, line(s) 120 p/a/y/e/a/s/e/net/t11.java, line(s) 12 p/a/y/e/a/s/e/net/ym.java, line(s) 63
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/geetest/sdk/dialog/views/GT3GtWebView.java, line(s) 396,401,427 com/payeasenet/service/sdk/ui/activity/ServicesWebActivity.java, line(s) 452,425
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/ehking/sdk/wepay/constant/Constants.java, line(s) 11,40,43,54 com/ehking/sdk/wepay/ui/Home/HomeListener.java, line(s) 20,17 com/livedetect/data/ConstantValues.java, line(s) 82 p/a/y/e/a/s/e/net/ContextSSLFactory.java, line(s) 18 p/a/y/e/a/s/e/net/db.java, line(s) 92 p/a/y/e/a/s/e/net/kt2.java, line(s) 288,293,352,357 p/a/y/e/a/s/e/net/s9.java, line(s) 84
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" 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 ad5121ef4dc0402c99cc993628c1c430 ec96e9ac1149251acbb1b0c5777cae95 2A2C22122832442026360522203D055621252031353630243551343A262126360C223F25023430274741292B231C3734231D2823240B4A3D500E523D000B27523D131D2F2147225C2F11523F5B5450550C50174D2611121009353C540B012C3704251015173804030029075212341C3702073F0C0B1B101E33094C2F01462D56232E22203D065250332F1D3F532C123A043445570C1C370F2A30110C282D1C1E0224113F1722242716362210265C36040B5721263C1D2F362803023B3E3417023608422E1D104E185D1D27281424011714252E2124252431 CeWMHQUn0ok6zcyGu192IwZ3vhJONfpKx4jrVP8dFEg5SATYm+DLtBXR7lbaqis/= e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 f6040d0e807aaec325ecf44823765544e92905158169f694b282bf17388632cf95a83bae7d2d235c1f039b0df1dcca5fda619b6f7f459f2ff8d70ddb7b601592fe29fcae58c028f319b3b12495e67aa5390942a997a8cb572c8030b2df5c2b622608bea02b0c3e5d4dff3f72c9e3204049a45c0760cd3604af8d57f0e0c693cc d8391a394d4a179e6fe7bdb8a301258b 4026aec5f46360286842041e8cd49856 b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/cjt2325/cameralibrary/CaptureButton.java, line(s) 135,224,261,353,356 com/cjt2325/cameralibrary/JCameraView.java, line(s) 549 com/contrarywind/view/WheelView.java, line(s) 415 com/ecloud/pulltozoomview/PullToZoomListViewEx.java, line(s) 69,139,140,166,189,202,214 com/ecloud/pulltozoomview/PullToZoomScrollViewEx.java, line(s) 71,73,123,195,196,213,249 com/ehking/sdk/wepay/interfaces/WalletPay.java, line(s) 3934 com/ehking/sdk/wepay/net/client/RetrofitClient.java, line(s) 488 com/ehking/sdk/wepay/other/idcardcamera/camera/CameraPreview.java, line(s) 98,158 com/ehking/sdk/wepay/other/idcardcamera/cropper/CropOverlayView.java, line(s) 63,89,90,113,142 com/ehking/sdk/wepay/ui/activity/AddBankCardActivity.java, line(s) 150,194 com/ehking/sdk/wepay/ui/activity/AuthenticationPhoneActivity.java, line(s) 154 com/ehking/sdk/wepay/ui/activity/BindCardWebActivity.java, line(s) 123 com/ehking/sdk/wepay/ui/activity/CameraActivity.java, line(s) 739,742 com/ehking/sdk/wepay/utlis/AESHelper.java, line(s) 61,67 com/ehking/sdk/wepay/utlis/DebugLogUtils.java, line(s) 10,16,22,28,53,59,65,71,77,83 com/ehking/sdk/wepay/utlis/ImageUtil.java, line(s) 581 com/geetest/sdk/dialog/views/GT3GtWebView.java, line(s) 459 com/getmessage/lite/adapter/EmojiFragmentAdapter.java, line(s) 45 com/getmessage/lite/app/LiteApplication.java, line(s) 472 com/getmessage/lite/custom_view/ChatBottomBarView.java, line(s) 229,249,255,412 com/getmessage/lite/custom_view/VoiceView.java, line(s) 75,89,103 com/getmessage/lite/custom_view/ZoomImageView.java, line(s) 50,183,236,243,341 com/getmessage/lite/presenter/BaseChatPresenter.java, line(s) 248,313,1012,1092,1178,1320 com/getmessage/lite/presenter/BigEmojiPackageManagePresenter.java, line(s) 77 com/getmessage/lite/presenter/FileDetailPresenter.java, line(s) 85 com/getmessage/lite/presenter/GroupQrCodePresenter.java, line(s) 167 com/getmessage/lite/presenter/MessagePresenter.java, line(s) 124 com/getmessage/lite/presenter/SearchPresenter.java, line(s) 151,192,276,287,327 com/getmessage/lite/presenter/SplashPresenter.java, line(s) 137 com/getmessage/lite/service/HWPushService.java, line(s) 20,18,43,77 com/getmessage/lite/service/MsgPushService.java, line(s) 83,278,207,274,279,291,297,311,333,341,345,350,393,426,434,439 com/getmessage/lite/utils/audio/VoicePlayer.java, line(s) 134,376,394,401,410 com/getmessage/lite/utils/chat_utils/BaseMsgViewHolder.java, line(s) 420 com/getmessage/lite/utils/chat_utils/MsgFileViewHolder.java, line(s) 95,119,127 com/getmessage/lite/utils/chat_utils/MsgVideoViewHolder.java, line(s) 191 com/getmessage/lite/utils/diffutil_callback/ConversationDiffCallBack.java, line(s) 84 com/getmessage/lite/utils/diffutil_callback/ConversationSortCallBack.java, line(s) 85 com/getmessage/lite/view/chat/BaseChatActivity.java, line(s) 234,1589,2324,2503,2570 com/getmessage/lite/view/conversation/MessageFragment.java, line(s) 142,154,164,180,513,692 com/getmessage/lite/view/conversation/ScanActivity.java, line(s) 171,192,199,208 com/getmessage/lite/view/emoji/MyLikeEmojiActivity.java, line(s) 63 com/getmessage/lite/view/emoji/MyLikeEmojiFragment.java, line(s) 80 com/getmessage/lite/view/image_video_preview/ImageAndVideoPreviewActivity.java, line(s) 311,329 com/getmessage/lite/view/personal_info/ImageBrowseActivity.java, line(s) 187 com/getmessage/lite/view/rtc/receiver/HomeKeyReceiver.java, line(s) 22 com/getmessage/lite/view/search/SearchActivity.java, line(s) 124 com/getmessage/lite/view/search/SearchMoreActivity.java, line(s) 69 com/getmessage/lite/view/send_file/SelectorFileActivity.java, line(s) 340 com/getmessage/module_base/base_view/BaseActivity.java, line(s) 60,63,65,314,68,76 com/getmessage/module_base/broadReceiver/DateTimeReceiver.java, line(s) 44 com/getmessage/module_base/costom_view/CornersGifView.java, line(s) 116 com/getmessage/module_base/model/bean/database_table/MsgBean.java, line(s) 106 com/getmessage/module_base/utils/video_recorder/FilterPreviewDialog.java, line(s) 60,91,174 com/getmessage/module_base/utils/video_recorder/VideoRecorderActivity.java, line(s) 356,379,504 com/getmessage/module_base/web/WebViewHelper.java, line(s) 314,339,220,323 com/getmessage/module_base/web/x5WebViewHelper.java, line(s) 308,333,214,317 com/github/siyamed/shapeimageview/mask/PorterImageView.java, line(s) 126 com/github/siyamed/shapeimageview/path/parser/CopyInputStream.java, line(s) 23 com/github/siyamed/shapeimageview/path/parser/IdHandler.java, line(s) 60 com/github/siyamed/shapeimageview/path/parser/PathParser.java, line(s) 273 com/github/siyamed/shapeimageview/path/parser/SvgToPath.java, line(s) 310,68 com/github/siyamed/shapeimageview/path/parser/TransformParser.java, line(s) 67 com/hisign/FaceSDK/FaceLiveDetect.java, line(s) 16 com/hisign/a/d/a.java, line(s) 35,54,60 com/hisign/matching/UvcInputAPI.java, line(s) 14 com/huawei/AudioDeviceAndroid.java, line(s) 948,898,110,127,134,140,147,149,161,166,174,176,188,198,206,211,221,251,266,285,302,311,360,381,402,428,529,843,867,871,985,995,1052,1059,1068,1136,1140,1144,1326,1340,1373,1388,1402,1416,1427,1440,1445,1463,1472,1502,1517,1552,1561 com/huawei/AudioDeviceAndroidService.java, line(s) 30,34,39,40,45 com/huawei/rtc/internal/HRTCEngineImpl.java, line(s) 1255,245,384,667,688,696,709,717,729,736,972,1258,1267,94,391,395,399,411,415,425,429,453,457,461,465,469,487,491,509,521,542,553,564,568,572,576,591,595,599,603,607,611,615,628,629,635,639,643,672,800,805,822,1010,1153,1172,1247,62,1271 com/huawei/rtc/internal/HRTCVideoOrientation.java, line(s) 113,145,152 com/huawei/rtc/internal/network/NetworkChangeManager.java, line(s) 18 com/huawei/videoengine/codec/MediaCodecDecoderImpl.java, line(s) 650,773 com/huawei/videoengine/codec/MediaCodecEncoderImpl.java, line(s) 603,175 com/huawei/videoengine/gip/GLCameraProcess.java, line(s) 162,414,262,325,350,368,399,401 com/huawei/videoengine/gles/Drawable2d.java, line(s) 101 com/huawei/videoengine/gles/GLDrawerImpl.java, line(s) 144,180 com/huawei/videoengine/gles/Texture2dProgram.java, line(s) 103,192,88,95,181,207 com/im/im/wxapi/WXPayEntryActivity.java, line(s) 44 com/joe/camera2recorddemo/Utils/GpuUtils.java, line(s) 41 com/joe/camera2recorddemo/View/CameraRecordView.java, line(s) 152,157 com/livedetect/LiveDetectActivity.java, line(s) 2147 com/livedetect/application/CrashHandler.java, line(s) 102,78,96,104,125 com/livedetect/utils/CameraUtils.java, line(s) 113,129,132,145,151,154 com/livedetect/utils/LogUtil.java, line(s) 10,16,22 com/livedetect/utils/ToolUtils.java, line(s) 56,58,68,70,80,82,92,94,107,109,115 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 196,216 com/payeasenet/service/sdk/ui/activity/ServicesWebActivity.java, line(s) 272,371 com/payeasenet/wepay/ui/activity/ServicesActivity.java, line(s) 72 com/x52im/rainbowchat/http/logic/dto/OfflineMsgDTO.java, line(s) 68,113 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 851 com/yalantis/ucrop/UCropActivity.java, line(s) 633 com/yalantis/ucrop/view/TransformImageView.java, line(s) 131,177,48,229 me/jessyan/autosize/utils/LogUtils.java, line(s) 15,21,35 me/kareluo/imaging/view/IMGView.java, line(s) 386,439,445,457 net/sqlcipher/database/SQLiteCompiledSql.java, line(s) 59,82,89,100,69 net/sqlcipher/database/SQLiteDatabase.java, line(s) 435,437,1684,255,303,316,331,673,903,1091,1105,1386,1400,1609,1704,422,1081,1610,823,835,869,884,1082,1265,1283,1459,1487,1611,1278 net/sqlcipher/database/SQLiteDebug.java, line(s) 7,8,9,10,11,12 net/sqlcipher/database/SQLiteProgram.java, line(s) 50,62 net/sqlcipher/database/SQLiteQuery.java, line(s) 125 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 198 org/greenrobot/greendao/AbstractDao.java, line(s) 491,745,803 org/greenrobot/greendao/DaoException.java, line(s) 28,29 org/greenrobot/greendao/DaoLog.java, line(s) 15,19,27,35,39,43,51,55,23,59,63,67 org/greenrobot/greendao/DbUtils.java, line(s) 64,34 org/greenrobot/greendao/async/AsyncOperationExecutor.java, line(s) 337,347,359,435 org/greenrobot/greendao/internal/LongHashMap.java, line(s) 75 org/greenrobot/greendao/query/QueryBuilder.java, line(s) 104,109 org/greenrobot/greendao/test/AbstractDaoTest.java, line(s) 29,32,61 org/greenrobot/greendao/test/AbstractDaoTestLongPk.java, line(s) 22,30 org/greenrobot/greendao/test/AbstractDaoTestSinglePk.java, line(s) 34 org/greenrobot/greendao/test/DbTest.java, line(s) 66 p/a/y/e/a/s/e/net/a8.java, line(s) 56,58,69 p/a/y/e/a/s/e/net/ad.java, line(s) 107,106 p/a/y/e/a/s/e/net/ak1.java, line(s) 59,95,39,75,102 p/a/y/e/a/s/e/net/al2.java, line(s) 32,28 p/a/y/e/a/s/e/net/an3.java, line(s) 45,49,59,63 p/a/y/e/a/s/e/net/aq1.java, line(s) 83,86,101,214,228,233,251,263,288,290,330,393,397,440,442,116,343,345,379,381,409,362 p/a/y/e/a/s/e/net/aq3.java, line(s) 46 p/a/y/e/a/s/e/net/au2.java, line(s) 48,89,124,135,142,172 p/a/y/e/a/s/e/net/be0.java, line(s) 76 p/a/y/e/a/s/e/net/be1.java, line(s) 55 p/a/y/e/a/s/e/net/bk2.java, line(s) 61 p/a/y/e/a/s/e/net/bs1.java, line(s) 325,324 p/a/y/e/a/s/e/net/bu2.java, line(s) 39,49 p/a/y/e/a/s/e/net/c51.java, line(s) 33,29,43,47,14 p/a/y/e/a/s/e/net/cf.java, line(s) 139,136 p/a/y/e/a/s/e/net/dj1.java, line(s) 45 p/a/y/e/a/s/e/net/du2.java, line(s) 49 p/a/y/e/a/s/e/net/dv1.java, line(s) 120 p/a/y/e/a/s/e/net/ed0.java, line(s) 183,184,185 p/a/y/e/a/s/e/net/ej1.java, line(s) 114,185,328,338,395,158,256,265,274,285,297,313 p/a/y/e/a/s/e/net/ek1.java, line(s) 56,60,78,88,110,122,123 p/a/y/e/a/s/e/net/eo3.java, line(s) 25 p/a/y/e/a/s/e/net/ev1.java, line(s) 33,39,42,53 p/a/y/e/a/s/e/net/ez0.java, line(s) 38,41,86,89 p/a/y/e/a/s/e/net/f.java, line(s) 49 p/a/y/e/a/s/e/net/f21.java, line(s) 43,59,65,69,83,45,50 p/a/y/e/a/s/e/net/fe.java, line(s) 64,63,80,81 p/a/y/e/a/s/e/net/fg1.java, line(s) 55 p/a/y/e/a/s/e/net/fi.java, line(s) 74,136,137,75 p/a/y/e/a/s/e/net/fj1.java, line(s) 66,82,139,151,204,216,41,59 p/a/y/e/a/s/e/net/fk1.java, line(s) 30 p/a/y/e/a/s/e/net/fl.java, line(s) 224,312,299,333,346,415,508,552,559,565,643,655 p/a/y/e/a/s/e/net/fo3.java, line(s) 224,246,272,362 p/a/y/e/a/s/e/net/fu2.java, line(s) 180 p/a/y/e/a/s/e/net/fv1.java, line(s) 21,26,38 p/a/y/e/a/s/e/net/g21.java, line(s) 869,884,896,904,913,918,925,1085,128,129,184,207,261,1037,1071,1152,1173,117,1026 p/a/y/e/a/s/e/net/g6.java, line(s) 155 p/a/y/e/a/s/e/net/g61.java, line(s) 102,92,224 p/a/y/e/a/s/e/net/g9.java, line(s) 494 p/a/y/e/a/s/e/net/ga.java, line(s) 106,163,103,162,166,172,179,176,182 p/a/y/e/a/s/e/net/gc.java, line(s) 59,74,80,110,119,129,75,120,60,81,111,132 p/a/y/e/a/s/e/net/gd0.java, line(s) 8,19,20 p/a/y/e/a/s/e/net/gd1.java, line(s) 54,90,102,118,146,34,66,60,96,112,124 p/a/y/e/a/s/e/net/gj1.java, line(s) 190,196,206,211,224,183,267,293,251 p/a/y/e/a/s/e/net/gp1.java, line(s) 17,30 p/a/y/e/a/s/e/net/gu2.java, line(s) 141,149,166,182,190,217,262,276,292,124,140,144,153,162,165,170,181,189,251,261,273,284,291 p/a/y/e/a/s/e/net/gv1.java, line(s) 23,43,77,94,95,108,120 p/a/y/e/a/s/e/net/hd0.java, line(s) 40,45,54,83 p/a/y/e/a/s/e/net/he0.java, line(s) 64,70,76,82,86,90,94,204,262 p/a/y/e/a/s/e/net/hg.java, line(s) 35,32,57,76,58,77 p/a/y/e/a/s/e/net/hj.java, line(s) 55,58 p/a/y/e/a/s/e/net/hp1.java, line(s) 99,101,142 p/a/y/e/a/s/e/net/hv1.java, line(s) 32 p/a/y/e/a/s/e/net/hz0.java, line(s) 434 p/a/y/e/a/s/e/net/i7.java, line(s) 75,218 p/a/y/e/a/s/e/net/ia.java, line(s) 55,54 p/a/y/e/a/s/e/net/ig.java, line(s) 18,17 p/a/y/e/a/s/e/net/ij1.java, line(s) 186,342,345,457,657,334 p/a/y/e/a/s/e/net/in2.java, line(s) 92 p/a/y/e/a/s/e/net/ip1.java, line(s) 237,279,311,360,393,74,78,83,247,291 p/a/y/e/a/s/e/net/ip3.java, line(s) 83,89 p/a/y/e/a/s/e/net/iq1.java, line(s) 14,19 p/a/y/e/a/s/e/net/iv1.java, line(s) 25,36 p/a/y/e/a/s/e/net/j.java, line(s) 66 p/a/y/e/a/s/e/net/jd0.java, line(s) 175,211 p/a/y/e/a/s/e/net/je0.java, line(s) 273 p/a/y/e/a/s/e/net/jh2.java, line(s) 22 p/a/y/e/a/s/e/net/jj1.java, line(s) 138,218,82,96,102,158,206 p/a/y/e/a/s/e/net/jk1.java, line(s) 44,58,19,30 p/a/y/e/a/s/e/net/jo3.java, line(s) 75,96 p/a/y/e/a/s/e/net/jp1.java, line(s) 28 p/a/y/e/a/s/e/net/jt0.java, line(s) 32,43,122,148,154,175,184,212,225,236,254,270 p/a/y/e/a/s/e/net/jv1.java, line(s) 65,70,75,87,113 p/a/y/e/a/s/e/net/kd0.java, line(s) 51 p/a/y/e/a/s/e/net/kf1.java, line(s) 27,35,20,39,32 p/a/y/e/a/s/e/net/kj1.java, line(s) 212 p/a/y/e/a/s/e/net/km3.java, line(s) 557 p/a/y/e/a/s/e/net/ko3.java, line(s) 197,196 p/a/y/e/a/s/e/net/kt0.java, line(s) 79 p/a/y/e/a/s/e/net/kt2.java, line(s) 134,160,241,246,258,288,293,352,357,423,435,652,656,662,667,669,718 p/a/y/e/a/s/e/net/l0.java, line(s) 96 p/a/y/e/a/s/e/net/l11.java, line(s) 37 p/a/y/e/a/s/e/net/li2.java, line(s) 229,388,389 p/a/y/e/a/s/e/net/m11.java, line(s) 60 p/a/y/e/a/s/e/net/m30.java, line(s) 187 p/a/y/e/a/s/e/net/m40.java, line(s) 111 p/a/y/e/a/s/e/net/m9.java, line(s) 63,91,60,90 p/a/y/e/a/s/e/net/mb.java, line(s) 34,35 p/a/y/e/a/s/e/net/mc2.java, line(s) 142 p/a/y/e/a/s/e/net/mo3.java, line(s) 23,40,50,64,74 p/a/y/e/a/s/e/net/n9.java, line(s) 603,632,639,602,631,638,754,763 p/a/y/e/a/s/e/net/na.java, line(s) 113,112 p/a/y/e/a/s/e/net/nb1.java, line(s) 35,52 p/a/y/e/a/s/e/net/nc.java, line(s) 161,146 p/a/y/e/a/s/e/net/nd.java, line(s) 99,102 p/a/y/e/a/s/e/net/ne.java, line(s) 262,276,310,323,329,346,351,371,251,261,273,287,305,319,322,325,328,331,345,350,363,370 p/a/y/e/a/s/e/net/nf.java, line(s) 86,93,100,111,89,96,103,119 p/a/y/e/a/s/e/net/ng.java, line(s) 164,165 p/a/y/e/a/s/e/net/ni2.java, line(s) 51,180 p/a/y/e/a/s/e/net/o21.java, line(s) 36 p/a/y/e/a/s/e/net/o7.java, line(s) 37,44,75 p/a/y/e/a/s/e/net/od.java, line(s) 38,37 p/a/y/e/a/s/e/net/od0.java, line(s) 24,61 p/a/y/e/a/s/e/net/oe.java, line(s) 105,245,379,104,244,324,355,378,441,463,172,339,451 p/a/y/e/a/s/e/net/og.java, line(s) 250,251,262 p/a/y/e/a/s/e/net/oi1.java, line(s) 28,43 p/a/y/e/a/s/e/net/on3.java, line(s) 112 p/a/y/e/a/s/e/net/ou2.java, line(s) 47,57,67,73,85,97,17,23,35,79,91,103,11,29,41 p/a/y/e/a/s/e/net/ov1.java, line(s) 59,67,80,28,46 p/a/y/e/a/s/e/net/p6.java, line(s) 134,932,953,964 p/a/y/e/a/s/e/net/p7.java, line(s) 684 p/a/y/e/a/s/e/net/p8.java, line(s) 170,281,286 p/a/y/e/a/s/e/net/pa.java, line(s) 83,82 p/a/y/e/a/s/e/net/pc.java, line(s) 92,89 p/a/y/e/a/s/e/net/pe.java, line(s) 47,53,48,54 p/a/y/e/a/s/e/net/pf.java, line(s) 19,20 p/a/y/e/a/s/e/net/q21.java, line(s) 138,142 p/a/y/e/a/s/e/net/q6.java, line(s) 29,83 p/a/y/e/a/s/e/net/q8.java, line(s) 146,110,188,197,234,245,249 p/a/y/e/a/s/e/net/qc.java, line(s) 42,41 p/a/y/e/a/s/e/net/qg.java, line(s) 83,84 p/a/y/e/a/s/e/net/qi1.java, line(s) 45,65,71,75,85,96,106,120,144,146 p/a/y/e/a/s/e/net/qm.java, line(s) 16,64,70,27,49 p/a/y/e/a/s/e/net/qs3.java, line(s) 50,68,69 p/a/y/e/a/s/e/net/qt1.java, line(s) 147 p/a/y/e/a/s/e/net/qu.java, line(s) 33 p/a/y/e/a/s/e/net/r5.java, line(s) 517,521,75,529,49,53,525 p/a/y/e/a/s/e/net/r6.java, line(s) 165,248,260,747,379,381,392 p/a/y/e/a/s/e/net/r8.java, line(s) 39,43,50,53,69,80,90,97,112,119,130,173,175 p/a/y/e/a/s/e/net/rc.java, line(s) 103,94 p/a/y/e/a/s/e/net/ri.java, line(s) 28 p/a/y/e/a/s/e/net/rj1.java, line(s) 24 p/a/y/e/a/s/e/net/s1.java, line(s) 162,56 p/a/y/e/a/s/e/net/s41.java, line(s) 84,88 p/a/y/e/a/s/e/net/s7.java, line(s) 115,146 p/a/y/e/a/s/e/net/sd1.java, line(s) 23,25,47 p/a/y/e/a/s/e/net/sh1.java, line(s) 33,43,76 p/a/y/e/a/s/e/net/so.java, line(s) 140,144 p/a/y/e/a/s/e/net/t6.java, line(s) 62 p/a/y/e/a/s/e/net/t7.java, line(s) 73 p/a/y/e/a/s/e/net/tc2.java, line(s) 15,25,30,19,11,23 p/a/y/e/a/s/e/net/te.java, line(s) 45,46 p/a/y/e/a/s/e/net/th.java, line(s) 76,138,139,77 p/a/y/e/a/s/e/net/tn3.java, line(s) 64,95,113,135,158,179,208,38,53,219 p/a/y/e/a/s/e/net/tz0.java, line(s) 64,76,93,108,151 p/a/y/e/a/s/e/net/u8.java, line(s) 279,289,359 p/a/y/e/a/s/e/net/ub2.java, line(s) 52 p/a/y/e/a/s/e/net/ul.java, line(s) 67,71,78,82,117,139 p/a/y/e/a/s/e/net/up1.java, line(s) 250,79,83,88,161,163,322 p/a/y/e/a/s/e/net/v11.java, line(s) 27,28,47,48 p/a/y/e/a/s/e/net/vd1.java, line(s) 30,68 p/a/y/e/a/s/e/net/vf.java, line(s) 38,41 p/a/y/e/a/s/e/net/vl.java, line(s) 63,94 p/a/y/e/a/s/e/net/vr1.java, line(s) 26,32,46,57,68,96,129,144,169,180,191,207 p/a/y/e/a/s/e/net/w40.java, line(s) 178 p/a/y/e/a/s/e/net/w6.java, line(s) 498 p/a/y/e/a/s/e/net/wa.java, line(s) 50,51 p/a/y/e/a/s/e/net/wb.java, line(s) 108,158,112,163 p/a/y/e/a/s/e/net/wd1.java, line(s) 22 p/a/y/e/a/s/e/net/wg.java, line(s) 51,58,69,74,50,57,62,68,73,63 p/a/y/e/a/s/e/net/wi.java, line(s) 51,50 p/a/y/e/a/s/e/net/wi1.java, line(s) 20,27,34 p/a/y/e/a/s/e/net/wv1.java, line(s) 215 p/a/y/e/a/s/e/net/xb.java, line(s) 119,170,206,99,108,118,169,179,205,226,233,269,141,180,227,234,109 p/a/y/e/a/s/e/net/xc.java, line(s) 19,18 p/a/y/e/a/s/e/net/xd2.java, line(s) 15,20 p/a/y/e/a/s/e/net/y21.java, line(s) 43,45,47,50,122,144,197,76,155,169,171,177,213,223,236 p/a/y/e/a/s/e/net/y7.java, line(s) 166,171 p/a/y/e/a/s/e/net/y8.java, line(s) 176,186,231,175,182,230,247,248 p/a/y/e/a/s/e/net/y9.java, line(s) 54,53 p/a/y/e/a/s/e/net/ya.java, line(s) 29,198 p/a/y/e/a/s/e/net/yc.java, line(s) 49,48 p/a/y/e/a/s/e/net/yl.java, line(s) 25,29,37,13 p/a/y/e/a/s/e/net/yn.java, line(s) 102,152,162,169,184 p/a/y/e/a/s/e/net/yn3.java, line(s) 59,185,467,476 p/a/y/e/a/s/e/net/yp3.java, line(s) 50 p/a/y/e/a/s/e/net/yt2.java, line(s) 93 p/a/y/e/a/s/e/net/z11.java, line(s) 358 p/a/y/e/a/s/e/net/ze.java, line(s) 352,183,188,309,318,325,349,184,189,310,319,326,327,328,332 p/a/y/e/a/s/e/net/zh1.java, line(s) 40 p/a/y/e/a/s/e/net/zj1.java, line(s) 71,124,143,81,129,148,153,161,171,180,75,95,102 p/a/y/e/a/s/e/net/zk2.java, line(s) 50,86,91,98,112,119,129,148,62 p/a/y/e/a/s/e/net/zn2.java, line(s) 269,301 p/a/y/e/a/s/e/net/zn3.java, line(s) 14,30,32,36,21 p/a/y/e/a/s/e/net/zt2.java, line(s) 54 uk/co/chrisjenx/calligraphy/ReflectionUtils.java, line(s) 46 uk/co/chrisjenx/calligraphy/TypefaceUtils.java, line(s) 47
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/getmessage/lite/view/chat/BaseChatActivity.java, line(s) 4,1295 p/a/y/e/a/s/e/net/g11.java, line(s) 4,72,84,88
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/ehking/sdk/wepay/net/client/RetrofitClient.java, line(s) 481,303,349 com/ehking/sdk/wepay/net/factory/HelpSSLSocketFactory.java, line(s) 32,56,30,28,53,53 com/ehking/sdk/wepay/net/factory/HttpClientSslHelper.java, line(s) 53,50,49,49 com/payeasenet/wepay/net/factory/HelpSSLSocketFactory.java, line(s) 32,56,30,28,53,53 p/a/y/e/a/s/e/net/ContextSSLFactory.java, line(s) 55,30,49 p/a/y/e/a/s/e/net/fz1.java, line(s) 332,336,250,333,333 p/a/y/e/a/s/e/net/nf1.java, line(s) 32,31,26 p/a/y/e/a/s/e/net/vz0.java, line(s) 33,167,32,31,31,165,165 p/a/y/e/a/s/e/net/wz0.java, line(s) 33,167,32,31,31,165,165
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/ehking/sdk/wepay/net/client/RetrofitClient.java, line(s) 744,744,747,747 p/a/y/e/a/s/e/net/j7.java, line(s) 234 p/a/y/e/a/s/e/net/v3.java, line(s) 21,21,21,21,21,21
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (webox.5upay.com) 通信。
{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wallet.95516.com) 通信。
{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。
{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.geetest.com) 通信。
{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。
{'ip': '110.75.132.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.sina.com.hk) 通信。
{'ip': '218.213.85.210', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (g.cn) 通信。
{'ip': '180.163.150.162', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (uat-merchant.5upay.com) 通信。
{'ip': '39.96.128.164', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cn.register.xmpush.xiaomi.com) 通信。
{'ip': '118.26.252.220', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (merchant.5upay.com) 通信。
{'ip': '39.96.128.164', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ip.chinaz.com) 通信。
{'ip': '123.129.219.142', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '济南', 'latitude': '36.668331', 'longitude': '116.997223'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '222.186.18.191', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (appgallery.cloud.huawei.com) 通信。
{'ip': '121.36.118.136', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (static.geetest.com) 通信。
{'ip': '117.69.72.224', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '苏州', 'latitude': '33.636440', 'longitude': '116.978851'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-push.in.meizu.com) 通信。
{'ip': '206.161.233.191', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vfx.mtime.cn) 通信。
{'ip': '58.220.52.249', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hs1105.s3.ap-east-1.amazonaws.com) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.huawei.com) 通信。
{'ip': '221.229.162.68', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '徐州', 'latitude': '34.266666', 'longitude': '117.166664'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.mi.com) 通信。
{'ip': '220.181.106.32', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '220.181.106.150', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (dashif.org) 通信。
{'ip': '61.160.148.90', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.5upay.com) 通信。
{'ip': '118.26.164.135', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.xmpush.xiaomi.com) 通信。
{'ip': '220.181.52.239', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}