安全分析报告： 晋江小说阅读 v6.1.8

应用程序使用了v1签名方案进行签名，如果只使用v1签名方案，那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序，以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

Android 5.0-5.0.2, [minSdk=21]
该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true，允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

(com.jjwxc.reader.wxapi.WXEntryActivity)
如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序，因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此，应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险，一个恶意应用程序可以请求并获得这个权限，并与该组件交互。如果它被设置为签名，只有使用相同证书签名的应用程序才能获得这个权限。

存在一个intent-filter。
发现 Service与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

[android:priority]
通过设置一个比另一个Intent更高的优先级，应用程序有效地覆盖了其他请求。

IP地址泄露


Files:
com/wrapper/proxyapplication/WrapperProxyApplication.java, line(s) 22

从应用程序中识别出以下机密确保这些不是机密或私人信息
"ppplugin_input_cardinfo_cardpwd_prompt" : "确认密码"
"ppplugin_microfreepwd_prompt" : "小额免密"
"author_noSign" : "这位大大尚未签约，您暂时没办法投雷守护Ta呢~"
"unlike_author_info" : "备注原因"
"login_forget_password" : "忘记密码？"
"comment_author_fav_label" : "加精"
"login_misspassword" : "忘記密碼"
"ppplugin_microfreepwd_switchoff" : "关闭"
"userinfo_author_name" : "笔名"
"tips_amount_free_pwd" : "已为您开启200元额度小额免密，可在右上角设置"
"author_speak" : "作者有话要说:"
"ppplugin_microfreepwd_switchon" : "已开启"
"add_private_tag" : "+自己可见标签"
"login_misspassword" : "找回密码"
"session_timeout" : "会话超时,请重新登录"
"ppplugin_forgetpwd_prompt" : "忘记密码"
"login_find_pwd" : "找回密碼"
"ppplugin_inputpwddialog_accbalance_prompt" : "账户余额"
"login_find_pwd" : "找回密码"
"unlike_author_comment_tip" : "已为您关闭不感兴趣的作者的评论区"
"ppplugin_microfreepwd_amount_prompt" : "免密金额"
"ac_search_exclude_author" : "排除以下作者"
"pos_pwd_display_yiqianbao" : "请输入壹钱包支付密码:"
"forget_pwd" : "忘记密码"
"ppplugin_modifypwd_prompt" : "修改支付密码"
"ac_search_input_key" : "输入其他关键字"
"unlike_author_tip" : "确认把AA设置为不感兴趣的作者吗？"
"ppplugin_resetpaypwd_ok" : "支付密码重置成功"
"login_no_token_status" : "请登入"
"ppplugin_dialog_purse_not_get_pwdinfo_yiqianbao" : "壹钱包密码键盘无密文信息返回"
"ppplugin_session_timeout_prompt" : "由于您长时间未操作，请重新登录"
"ppplugin_inputpaypwd_prompt" : "请输入6位支付密码"
"ppplugin_inputpaypwd_pos_prompt" : "请输入6位全民付移动支付密码"
"ppplugin_set_pwd_prompt" : "设置密码"
"ppplugin_inputpwddialog_coupon_prompt" : "优惠券"
"tips_input_password" : "为了您的账号安全请输入支付密码"
"input_password" : "请输入有效的密码"
"err_auth_dented" : "认证被否决"
"input_username" : "请输入您的用户名"
"ppplugin_modifypaypwd_ok" : "支付密码修改成功"
"unlike_author_info_tip" : "限50字内，非必填"
"ppplugin_microfreepwd_use_prompt" : "超过免密额度时，需要验证支付密码，并且系统会移除可疑交易。"
"author_speak" : "作者有話要說:"
"custom_font_user" : "使用"
"ppplugin_microfreepwd_pay_prompt" : "小额免密支付"