安全分析报告:
安全分数
安全分数 44/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
3
用户/设备跟踪器
调研结果
高危
6
中危
36
信息
2
安全
1
关注
16
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/wind/im/WindApp.java, line(s) 187,35,36,37,38,39,40
高危 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/just/agentweb/AgentWebConfig.java, line(s) 59,10
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/imacapp/home/ui/activity/KitWebViewActivity.java, line(s) 78,6 com/just/agentweb/UrlLoaderImpl.java, line(s) 69,74,5
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/imacapp/home/web/KitWebViewClient.java, line(s) 109,108
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/loc/eu.java, line(s) 63,104,117
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/just/agentweb/AbsAgentWebSettings.java, line(s) 46,22
中危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 5.0-5.0.2, [minSdk=21] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 Activity设置了TaskAffinity属性
(ltearn.xingliaoshiduiejiqun.tearn.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (ltearn.xingliaoshiduiejiqun.tearn.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.heytap.mcssdk.PushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.heytap.mcssdk.AppPushService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.vivo.push.sdk.service.CommandClientService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.wind.im.push.receiver.VivoPushMessageReceiverImpl) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.wind.im.push.receiver.XiaomiPushMessageReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.wind.im.push.receiver.MeizuPushServerMsgReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (com.taobao.accs.ChannelService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.taobao.accs.data.MsgDistributeService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.taobao.accs.EventReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.taobao.accs.ServiceReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Service (org.android.agoo.accs.AgooService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.taobao.agoo.AgooCommondReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity (com.imacapp.common.WindCommTransitActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危 Activity设置了TaskAffinity属性
(com.imacapp.wxapi.WXEntryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.imacapp.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity-Alias (ltearn.xingliaoshiduiejiqun.tearn.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/imacapp/moment/widget/liked/ShineView.java, line(s) 15 com/imacapp/wind/vm/RegisterUserInfoViewModel.java, line(s) 32 com/loc/be.java, line(s) 18 com/loc/bo.java, line(s) 9 com/loc/fm.java, line(s) 39 com/wind/imlib/bean/ServerBucket.java, line(s) 24
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/danikula/videocache/ProxyCacheUtils.java, line(s) 70 com/download/library/DownloadTask.java, line(s) 452 com/download/library/Downloader.java, line(s) 490,797,805,905,909 com/download/library/Runtime.java, line(s) 343,361 com/just/agentweb/AgentWebUtils.java, line(s) 599
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,27 com/loc/ev.java, line(s) 5,419 com/loc/ex.java, line(s) 3,13 com/lzy/okgo/db/DBHelper.java, line(s) 4,5,43 com/lzy/okgo/db/DBUtils.java, line(s) 4,9
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/alibaba/android/arouter/utils/Consts.java, line(s) 3 com/bumptech/glide/load/Option.java, line(s) 73 com/bumptech/glide/load/engine/DataCacheKey.java, line(s) 33 com/bumptech/glide/load/engine/EngineResource.java, line(s) 90 com/bumptech/glide/load/engine/ResourceCacheKey.java, line(s) 80 com/bumptech/glide/manager/RequestManagerRetriever.java, line(s) 32 com/jeremyliao/liveeventbus/ipc/IpcConst.java, line(s) 5 com/lzy/okgo/cache/CacheEntity.java, line(s) 12,84 com/lzy/okgo/exception/CacheException.java, line(s) 6,10 com/tencent/tauth/AuthActivity.java, line(s) 16 com/wind/im/BuildConfig.java, line(s) 3 com/wind/imlib/BuildConfig.java, line(s) 3 com/wind/imlib/db/manager/CommSettingManager.java, line(s) 9,11 com/wind/imlib/db/manager/GroupManager.java, line(s) 7 com/wind/imlib/provider/DBMessageProvider.java, line(s) 62 com/wind/kit/KitRoutePath.java, line(s) 87,86,12 com/wind/kit/bean/KitCommKey.java, line(s) 3 com/wind/kit/ui/widget/WindCodeInputView.java, line(s) 21
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/cf/msc/sdk/AppVest.java, line(s) 198,210 com/danikula/videocache/StorageUtils.java, line(s) 20,37 com/imacapp/videoplayer/SimplePlayActivity.java, line(s) 108 com/just/agentweb/AgentWebUtils.java, line(s) 306,389 com/loc/n.java, line(s) 236,237,769 com/loc/y.java, line(s) 39 com/lzy/okgo/convert/FileConvert.java, line(s) 25,42 com/wind/imlib/utils/UriUtils.java, line(s) 214,156,158,341 com/yalantis/ucrop/util/FileUtils.java, line(s) 91 io/openinstall/sdk/az.java, line(s) 75,76,88,89
中危 IP地址泄露
IP地址泄露 Files: com/danikula/videocache/HttpProxyCacheServer.java, line(s) 27 com/wind/im/BuildConfig.java, line(s) 15 io/openinstall/sdk/ap.java, line(s) 42
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/cf/msc/sdk/SignCheck.java, line(s) 37 com/wind/imlib/connect/http/interceptor/SignHeaderInterceptor.java, line(s) 77 io/openinstall/sdk/i.java, line(s) 141
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/loc/h.java, line(s) 180,179
中危 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/cf/msc/sdk/CheckHook.java, line(s) 22,38,60,22
中危 应用程序包含隐私跟踪程序
此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "wx_appsecret" : "" KY29tLmhleXRhcC5vcGVuaWQuSU9wZW5JRA QY29udGVudDovL2NvbS52aXZvLnZtcy5JZFByb3ZpZGVyL0lkZW50aWZpZXJJZC9PQUlE UY29tLnVvZGlzLm9wZW5kZXZpY2UuYWlkbC5PcGVuRGV2aWNlSWRlbnRpZmllclNlcnZpY2U WY29tLmFuZHJvaWQuaWQuaW1wbC5JZFByb3ZpZGVySW1wbA IaHR0cDovL2xvZ3MuYW1hcC5jb20vd3MvbG9nL3VwbG9hZD9wcm9kdWN0PSVzJnR5cGU9JXMmcGxhdGZvcm09JXMmY2hhbm5lbD0lcyZzaWduPSVz L3N5c3RlbS9ldGMvZXhjbHVkZWQtaW5wdXQtZGV2aWNlcy54bWw= YW5kcm9pZC5oYXJkd2FyZS5jYW1lcmEuZmxhc2g= 9087ee0b49403c95a94af5f1795ebe67 YW5kcm9pZC5oYXJkd2FyZS5ibHVldG9vdGg= fe643c382e5c3b3962141f1a2e815a78 C6K+35Zyo6auY5b635byA5pS+5bmz5Y+w5a6Y572R5LiK5Y+R6LW35oqA5pyv5ZKo6K+i5bel5Y2V4oCUPui0puWPt+S4jktleemXrumimO+8jOWSqOivoklOVkFMSURfVVNFUl9LRVnlpoLkvZXop6PlhrM= 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 D2FF99A88BEB04683D89470D4FA72B1749DA456AB0D0F1A476477CE5A6874F53A9106423D905F9D808C0FCE8E7F1E04AC642F01FE41D0C7D933971F45CBA72B7 668319f11506def6208d6afe320dfd52 L3N5c3RlbS9iaW4vZ2VueW1vdGlvbi12Ym94LXNm L3N5c3RlbS9iaW4vbmVtdVZNLXByb3A= WY29tLnVvZGlzLm9wZW5kZXZpY2UuT1BFTklEU19TRVJWSUNF AYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19ORVRXT1JLX1NUQVRF 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a f3423b38048b29b9e7bfec5c73e51ca1 L3N5c3RlbS9iaW4vbWljcm92aXJ0LXByb3A= WYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFVFRJTkdT 53E53D46011A6BBAEA4FAE5442E659E0577CDD336F930C28635C322FB3F51C3C63F7FBAC9EAE448DFA2E5E5D716C4807 WYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19XSUZJX1NUQVRF FB923EE67A8B4032DAA517DD8CD7A26FF7C25B0C3663F92A0B61251C4FFFA858DF169D61321C3E7919CB67DF8EFEC827 SWjJuYVh2eEMwSzVmNklFSmh0UXpVb2xtOVM4eU9Ua3E L3N5c3RlbS9iaW4vZHJvaWQ0eC1wcm9w 9a571aa113ad987d626c0457828962e6 55e92a2be29cc6f1ea4d146fb9e6045d WYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfUEhPTkVfU1RBVEU= L3N5cy9jbGFzcy9uZXQvd2xhbjAvYWRkcmVzcw== EYWN0aW9uLmNvbS5oZXl0YXAub3BlbmlkLk9QRU5fSURfU0VSVklDRQ QImtleSI6IiVzIiwicGxhdGZvcm0iOiJhbmRyb2lkIiwiZGl1IjoiJXMiLCJhZGl1IjoiJXMiLCJwa2ciOiIlcyIsIm1vZGVsIjoiJXMiLCJhcHBuYW1lIjoiJXMiLCJhcHB2ZXJzaW9uIjoiJXMiLCJzeXN2ZXJzaW9uIjoiJXMi SYW5kcm9pZC5vcy5zdG9yYWdlLlN0b3JhZ2VWb2x1bWU QY29tLnNhbXN1bmcuYW5kcm9pZC5kZXZpY2VpZHNlcnZpY2UuRGV2aWNlSWRTZXJ2aWNl UY29tLnNhbXN1bmcuYW5kcm9pZC5kZXZpY2VpZHNlcnZpY2UuSURldmljZUlkU2VydmljZQ Y29tLnRlbmNlbnQuYW5kcm9pZC5xcWRvd25sb2FkZXI= SY29tLmhleXRhcC5vcGVuaWQuSWRlbnRpZnlTZXJ2aWNl EYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFQ1VSRV9TRVRUSU5HUw==
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/imacapp/message/ui/KitGroupMessageActivity.java, line(s) 4,433 com/imacapp/message/ui/KitMassSendMessageActivity.java, line(s) 5,421 com/imacapp/message/ui/KitUserMessageActivity.java, line(s) 4,437 com/wind/kit/utils/KitKeyBoardUtils.java, line(s) 5,39 io/openinstall/sdk/bm.java, line(s) 6,174
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/bingoogolapple/qrcode/core/BGAQRCodeUtil.java, line(s) 41,47 com/afollestad/materialdialogs/list/DialogListExtKt.java, line(s) 81 com/afollestad/materialdialogs/list/DialogMultiChoiceExtKt.java, line(s) 50 com/afollestad/materialdialogs/list/DialogSingleChoiceExtKt.java, line(s) 47 com/alibaba/android/arouter/launcher/_ARouter.java, line(s) 130,119,128 com/alibaba/android/arouter/utils/ClassUtils.java, line(s) 76,109,119,61,122,150,158 com/alibaba/android/arouter/utils/DefaultLogger.java, line(s) 41,92,74,84,52,63 com/bumptech/glide/Glide.java, line(s) 211,220,138,137,210,217,249,250 com/bumptech/glide/gifdecoder/GifHeaderParser.java, line(s) 235,274,234,273 com/bumptech/glide/gifdecoder/StandardGifDecoder.java, line(s) 152,170,189,151,169,188,210,219 com/bumptech/glide/load/data/AssetPathFetcher.java, line(s) 36,35 com/bumptech/glide/load/data/HttpUrlFetcher.java, line(s) 53,133,52,56,61,68,132,65,69 com/bumptech/glide/load/data/LocalUriFetcher.java, line(s) 38,37 com/bumptech/glide/load/data/mediastore/ThumbFetcher.java, line(s) 52,51 com/bumptech/glide/load/data/mediastore/ThumbnailStreamOpener.java, line(s) 61,111,60,110 com/bumptech/glide/load/engine/DecodeJob.java, line(s) 341,387,448 com/bumptech/glide/load/engine/DecodePath.java, line(s) 56,57 com/bumptech/glide/load/engine/Engine.java, line(s) 27,111 com/bumptech/glide/load/engine/GlideException.java, line(s) 81 com/bumptech/glide/load/engine/SourceGenerator.java, line(s) 66,67 com/bumptech/glide/load/engine/bitmap_recycle/LruArrayPool.java, line(s) 89,143,90,144 com/bumptech/glide/load/engine/bitmap_recycle/LruBitmapPool.java, line(s) 127,157,165,189,72,79,126,136,156,164,178,188,197,73,80,137,203,179 com/bumptech/glide/load/engine/cache/DiskLruCacheWrapper.java, line(s) 52,62,76,82,112,123,53,77,63,83,113,124 com/bumptech/glide/load/engine/cache/MemorySizeCalculator.java, line(s) 65,49 com/bumptech/glide/load/engine/executor/GlideExecutor.java, line(s) 165,162 com/bumptech/glide/load/engine/executor/RuntimeCompat.java, line(s) 37,36 com/bumptech/glide/load/engine/prefill/BitmapPreFillRunner.java, line(s) 69,68 com/bumptech/glide/load/model/ByteBufferEncoder.java, line(s) 20,19 com/bumptech/glide/load/model/ByteBufferFileLoader.java, line(s) 59,58 com/bumptech/glide/load/model/FileLoader.java, line(s) 64,63 com/bumptech/glide/load/model/ResourceLoader.java, line(s) 39,40 com/bumptech/glide/load/model/StreamEncoder.java, line(s) 39,38 com/bumptech/glide/load/resource/ImageDecoderResourceDecoder.java, line(s) 64,65 com/bumptech/glide/load/resource/bitmap/BitmapEncoder.java, line(s) 61,60 com/bumptech/glide/load/resource/bitmap/BitmapImageDecoderResourceDecoder.java, line(s) 18,19 com/bumptech/glide/load/resource/bitmap/DefaultImageHeaderParser.java, line(s) 119,126,142,149,182,192,204,218,232,238,242,247,253,257,118,125,141,148,181,191,203,217,231,237,241,246,252,256 com/bumptech/glide/load/resource/bitmap/Downsampler.java, line(s) 206,327,364,155,179,205,289,326,363,156,290,391 com/bumptech/glide/load/resource/bitmap/DrawableToBitmapConverter.java, line(s) 44,49,45,50 com/bumptech/glide/load/resource/bitmap/HardwareConfigState.java, line(s) 123,124 com/bumptech/glide/load/resource/bitmap/TransformationUtils.java, line(s) 168,112,121,128,145,150,167,113,122,129,130,131,135,146,151 com/bumptech/glide/load/resource/bitmap/VideoDecoder.java, line(s) 129,128 com/bumptech/glide/load/resource/gif/ByteBufferGifDecoder.java, line(s) 80,85,90,99,81,86,91,100 com/bumptech/glide/load/resource/gif/GifDrawableEncoder.java, line(s) 25,26 com/bumptech/glide/load/resource/gif/StreamGifDecoder.java, line(s) 55,56 com/bumptech/glide/manager/DefaultConnectivityMonitor.java, line(s) 22,21,51,69,52,70 com/bumptech/glide/manager/DefaultConnectivityMonitorFactory.java, line(s) 15,14 com/bumptech/glide/manager/RequestManagerFragment.java, line(s) 123,124 com/bumptech/glide/manager/RequestManagerRetriever.java, line(s) 319,320,328 com/bumptech/glide/manager/RequestTracker.java, line(s) 24,25 com/bumptech/glide/manager/SupportRequestManagerFragment.java, line(s) 130,139,131,140 com/bumptech/glide/module/ManifestParser.java, line(s) 22,29,40,45,21,28,33,39,44,34 com/bumptech/glide/request/SingleRequest.java, line(s) 397,53,518,444 com/bumptech/glide/request/target/CustomViewTarget.java, line(s) 280,281,295,296 com/bumptech/glide/request/target/ViewTarget.java, line(s) 277,278,292,293 com/bumptech/glide/signature/ApplicationVersionSignature.java, line(s) 46 com/bumptech/glide/util/ContentLengthInputStream.java, line(s) 28,27 com/bumptech/glide/util/pool/FactoryPools.java, line(s) 89,90 com/cf/msc/sdk/AppVest.java, line(s) 419,426,515,200,217,235,409,138 com/cf/msc/sdk/NetHelper.java, line(s) 50,60 com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 49,56,62,27,38 com/download/library/DownloadSubmitterImpl.java, line(s) 43 com/download/library/Runtime.java, line(s) 337,305,310 com/huawei/hmf/tasks/a/g.java, line(s) 30,40,66 com/imacapp/home/web/KitWebViewClient.java, line(s) 203 com/imacapp/home/web/UIController.java, line(s) 17 com/imacapp/home/widget/CoolIndicator.java, line(s) 154,234,265,369 com/imacapp/moment/widget/liked/PorterImageView.java, line(s) 137 com/imacapp/moment/widget/liked/ShineButton.java, line(s) 255,263 com/imacapp/wind/vm/RegisterInviteViewModel.java, line(s) 104 com/imacapp/wind/vm/RegisterUserInfoViewModel.java, line(s) 115 com/jeremyliao/liveeventbus/logger/DefaultLogger.java, line(s) 17,32,11,26,15,30,19,34,13,28 com/just/agentweb/AgentWebUtils.java, line(s) 153,125,126,133,146 com/just/agentweb/AgentWebView.java, line(s) 60,89,100,286,41,274,278 com/just/agentweb/DefaultChromeClient.java, line(s) 264,270 com/just/agentweb/JsCallJava.java, line(s) 133,66,42,79 com/just/agentweb/JsCallback.java, line(s) 69 com/just/agentweb/LogUtils.java, line(s) 13,18,33,23,41 com/just/agentweb/filechooser/FileChooser.java, line(s) 598 com/loc/a.java, line(s) 337 com/loc/d.java, line(s) 411 com/loc/ey.java, line(s) 82 com/loc/u.java, line(s) 254,255,256,262,263,264,273,274,275,281,282,283,292,293,294,300,301,302,624,634 com/lxj/xpopup/core/BasePopupView.java, line(s) 122 com/lxj/xpopup/widget/SmartDivider.java, line(s) 25 com/lzy/okgo/utils/OkLogger.java, line(s) 33,63,43,23,53 com/tencent/tauth/AuthActivity.java, line(s) 92,44,56,70,134,145,34,24,51,161 com/tencent/tauth/Tencent.java, line(s) 138,149,154,159,162,70,116,120,129,135,55,59,68,82,92,97,105,173,178,183,188,193,198,204,210,215,222,227,232,237,242,247,255,260,265,271,278,283,288,293,307,313,319,325,331,337,348,358,363,368,370,375,380,385,391,398,404,412,418,426,437,450,452,457,462,467,476 com/wind/im/push/badge/ShortcutBadger.java, line(s) 69,131,140,68,102,109,130,115 com/wind/im/push/client/XiaomiPushClient.java, line(s) 35 com/wind/imlib/bean/ServerBucket.java, line(s) 392,288 com/wind/imlib/utils/KitReleaseLogUtils.java, line(s) 531,587,650 com/wind/imlib/utils/UriUtils.java, line(s) 382 com/wind/kit/ui/widget/WindSwipeMenuLayout.java, line(s) 296 com/wind/kit/ui/widget/inputkeyboard/KitMessageExtraViewManager.java, line(s) 29,165,172,203,144,180 com/wind/kit/ui/widget/inputkeyboard/KitMessageRootHandler.java, line(s) 30,41,47,49 com/wind/kit/utils/KitKeyBoardUtils.java, line(s) 115,174,210 com/wind/kit/utils/KitSystemUtils.java, line(s) 30 com/yalantis/ucrop/UCropActivity.java, line(s) 154 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 149,157,184,129 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 125,143,84,87,130,135 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 103,51,82 com/yalantis/ucrop/util/EglUtils.java, line(s) 26 com/yalantis/ucrop/util/FileUtils.java, line(s) 63,99 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 57,64,75,82,115,125,137,151,165,171,175,180,186,190,281,287,300,307,314,324,342,350,355,368,375,391,408,421,428,435,56,63,74,81,114,124,136,150,164,170,174,179,185,189 com/yalantis/ucrop/view/TransformImageView.java, line(s) 227,248,136,80 io/openinstall/sdk/cf.java, line(s) 8,16,12 me/jessyan/autosize/AutoSize.java, line(s) 168 me/jessyan/autosize/AutoSizeConfig.java, line(s) 109,126,135,200 me/jessyan/autosize/DefaultAutoAdaptStrategy.java, line(s) 20,29,32,14,26 me/jessyan/autosize/utils/AutoSizeLog.java, line(s) 22,34,28 pub/devrel/easypermissions/EasyPermissions.java, line(s) 138,140,33 pub/devrel/easypermissions/helper/ActivityPermissionHelper.java, line(s) 35 pub/devrel/easypermissions/helper/BaseSupportPermissionsHelper.java, line(s) 19 timber/log/Timber.java, line(s) 516,534 top/zibin/luban/Checker.java, line(s) 69,89,95,111,128 top/zibin/luban/Luban.java, line(s) 84,83 tv/danmaku/ijk/media/exo/demo/EventLogger.java, line(s) 36,40,45,55,60,65,86,91,136,142,50,146,72,80 tv/danmaku/ijk/media/exo/demo/player/DashRendererBuilder.java, line(s) 138 tv/danmaku/ijk/media/exo2/demo/EventLogger.java, line(s) 176,181,186,191,196,201,215,218,229,236,242,246,256,259,265,275,283,290,294,298,300,305,310,312,317,322,327,332,337,342,347,352,357,362,367,372,379,382,385,389,392,394,406,409,412,415,418,421,423,426,206,398 tv/danmaku/ijk/media/player/IjkMediaCodecInfo.java, line(s) 194,196 tv/danmaku/ijk/media/player/IjkMediaPlayer.java, line(s) 923,927,808,821,816,861,918,930,952,317,479,833,949 tv/danmaku/ijk/media/player/pragma/DebugLog.java, line(s) 49,53,57,13,17,21,25,29,33,61,65,69,37,41,45
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/danikula/videocache/HttpUrlSource.java, line(s) 205,183,207 com/loc/bf.java, line(s) 1018,1027,1038 com/lzy/okgo/https/HttpsUtils.java, line(s) 132,81,130,130 com/wind/imlib/connect/http/HttpConnection.java, line(s) 80,89
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (mst01.is.autonavi.com) 通信。
{'ip': '59.82.34.144', 'country_short': 'CN', 'country_long': 'China', 'region': 'Shanghai', 'city': 'Shanghai', 'latitude': '31.224333', 'longitude': '121.469139'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (apiinit.amap.com) 通信。
{'ip': '59.82.14.114', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (restsdk.amap.com) 通信。
{'ip': '106.11.226.133', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (dualstack-a.apilocate.amap.com) 通信。
{'ip': '59.82.9.131', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (apilocate.amap.com) 通信。
{'ip': '59.82.34.100', 'country_short': 'CN', 'country_long': 'China', 'region': 'Shanghai', 'city': 'Shanghai', 'latitude': '31.224333', 'longitude': '121.469139'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (dualstack-arestapi.amap.com) 通信。
{'ip': '59.82.9.60', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (mpsapi.amap.com) 通信。
{'ip': '59.82.9.7', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (cgicol.amap.com) 通信。
{'ip': '180.97.165.69', 'country_short': 'CN', 'country_long': 'China', 'region': 'Jiangsu', 'city': 'Suzhou', 'latitude': '31.311390', 'longitude': '120.618057'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (wb.amap.com) 通信。
{'ip': '59.82.14.191', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (lbs.amap.com) 通信。
{'ip': '59.82.31.203', 'country_short': 'CN', 'country_long': 'China', 'region': 'Guangdong', 'city': 'Guangzhou', 'latitude': '23.127361', 'longitude': '113.264252'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (m5.amap.com) 通信。
{'ip': '59.82.34.99', 'country_short': 'CN', 'country_long': 'China', 'region': 'Shanghai', 'city': 'Shanghai', 'latitude': '31.224333', 'longitude': '121.469139'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (appgallery.cloud.huawei.com) 通信。
{'ip': '121.36.118.136', 'country_short': 'CN', 'country_long': 'China', 'region': 'Beijing', 'city': 'Beijing', 'latitude': '39.907501', 'longitude': '116.397232'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (wap.amap.com) 通信。
{'ip': '115.223.42.178', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Wenzhou', 'latitude': '27.999420', 'longitude': '120.666817'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (abroad.apilocate.amap.com) 通信。
{'ip': '203.209.230.18', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (store.hispace.hicloud.com) 通信。
{'ip': '49.4.47.241', 'country_short': 'CN', 'country_long': 'China', 'region': 'Beijing', 'city': 'Beijing', 'latitude': '39.907501', 'longitude': '116.397232'}
关注 应用程序可能与位于OFAC制裁国家 (China) 的服务器 (adiu.amap.com) 通信。
{'ip': '59.82.29.231', 'country_short': 'CN', 'country_long': 'China', 'region': 'Zhejiang', 'city': 'Hangzhou', 'latitude': '30.293650', 'longitude': '120.161423'}