安全分析报告: Mark v1.8.1

安全分数


安全分数 42/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 8
中危 36
信息 1
安全 1
关注 8

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 Activity (com.jarvan.fluwx.wxapi.FluwxWXEntryActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.intlime.mark.wxapi.WXPayEntryActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.tencent.tauth.AuthActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.sina.weibo.sdk.share.ShareTransActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 Activity (com.sina.weibo.sdk.share.ShareStoryActivity) 的启动模式不是standard模式 

Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/e/a/a/q0/i0/c.java, line(s) 74
f/g/a/e/g/b.java, line(s) 74,116
f/g/c/f/b/i/i/c/a.java, line(s) 53,83
f/h/c/a/c/a.java, line(s) 58
f/l/b/i/g.java, line(s) 294
f/l/b/j/g/a.java, line(s) 62,83
f/m/a/t/i.java, line(s) 19
f/n/c/o0.java, line(s) 13

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/f/a/m/b.java, line(s) 12

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity-Alias (com.intlime.mark.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity-Alias (com.intlime.mark.wxapi.WXPayEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (com.getui.getuiflut.FlutterPushService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.igexin.sdk.PushService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (com.igexin.sdk.PushReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity设置了TaskAffinity属性 

(com.igexin.sdk.PushActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity设置了TaskAffinity属性 

(com.igexin.sdk.GActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.igexin.sdk.GActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.getui.getuiflut.GetuiPluginActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.getui.getuiflut.GetuiPluginActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.meizu.cloud.pushsdk.SystemReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Broadcast Receiver (com.igexin.sdk.FlymePushReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.igexin.sdk.MiuiPushReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.igexin.sdk.HmsPushSubReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.igexin.sdk.OppoPushService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.igexin.sdk.OppoAppPushService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.heytap.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.vivo.push.sdk.service.CommandClientService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.vivo.push.sdk.LinkProxyClientActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.igexin.sdk.VivoPushMessageReceiver) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 Activity (com.sina.weibo.sdk.share.ShareResultActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
f/h/c/b/a.java, line(s) 6
f/h/d/e/c/l.java, line(s) 8
f/h/d/e/p.java, line(s) 5
f/h/d/k/l.java, line(s) 3
f/j/a/c/j/f.java, line(s) 9
f/j/a/d/k.java, line(s) 7
f/n/a/c/g.java, line(s) 33
f/n/c/r.java, line(s) 8
i/y/a.java, line(s) 3
i/y/b.java, line(s) 4

中危 IP地址泄露 

IP地址泄露


Files:
f/g/a/e/b/j.java, line(s) 31
f/g/a/e/f/i.java, line(s) 43
f/g/a/h/d.java, line(s) 269
f/g/c/b/g.java, line(s) 290
f/h/d/e/e/c.java, line(s) 39
f/h/d/e/f/e.java, line(s) 34
f/j/a/c/f.java, line(s) 13
f/j/a/e/a.java, line(s) 101
f/l/b/i/f.java, line(s) 24
f/l/b/j/i/g.java, line(s) 26

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/zt/shareextend/e.java, line(s) 32
f/d/b/a.java, line(s) 59,60
f/g/c/g/a/i.java, line(s) 61
f/h/d/e/d.java, line(s) 28,29
f/h/d/e/h.java, line(s) 153
f/i/a/a/a.java, line(s) 14
f/l/b/j/h/t.java, line(s) 49,51
f/m/a/t/w.java, line(s) 13,66
f/n/a/a/b.java, line(s) 81,151,179
f/n/a/c/c.java, line(s) 262
f/n/a/c/d.java, line(s) 88
f/n/c/b1.java, line(s) 76,150,385
f/n/c/c1.java, line(s) 51
f/n/c/c2.java, line(s) 12
f/n/c/q4.java, line(s) 246
f/n/c/w1.java, line(s) 44

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/common/busi/CustomView.java, line(s) 58
f/h/b/e/b.java, line(s) 28
f/h/c/b/a.java, line(s) 32,60
f/h/d/k/a.java, line(s) 77
f/l/a/f/e.java, line(s) 22
f/l/b/i/g.java, line(s) 301
f/l/b/j/g/a.java, line(s) 73
f/l/b/j/g/b.java, line(s) 286
f/l/b/j/g/c.java, line(s) 50,134,150
f/l/b/k/d.java, line(s) 79
f/m/a/t/v.java, line(s) 27
f/n/a/a/b.java, line(s) 219
f/n/a/c/g.java, line(s) 341

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/jg/ids/e/d.java, line(s) 82
f/g/a/e/g/e.java, line(s) 38
f/g/a/e/g/h.java, line(s) 55
f/h/c/a/c/a.java, line(s) 80
f/h/d/k/a.java, line(s) 95
f/l/b/j/g/a.java, line(s) 91
f/l/b/j/g/b.java, line(s) 358
f/n/a/c/g.java, line(s) 354

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
f/h/b/c/d/a.java, line(s) 37
f/l/a/f/a.java, line(s) 229
f/m/a/m/d.java, line(s) 45
f/n/a/a/a.java, line(s) 65

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
f/h/d/b/b.java, line(s) 6,7,139
f/h/d/e/c/h.java, line(s) 5,143
f/k/a/c.java, line(s) 7,567
f/l/a/g/c.java, line(s) 5,6,7,39
f/l/a/g/e.java, line(s) 4,26,27,30,31,23
f/l/a/g/f.java, line(s) 6,92
f/l/a/h/c.java, line(s) 6,280
f/l/a/h/d.java, line(s) 5,6,27

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/jarvan/fluwx/c/c.java, line(s) 140
d/h/a/a.java, line(s) 2696

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
个推–推送服务的=> "PUSH_APPKEY" : "WSCH57g12I6ooezeUpQ809"
个推–推送服务的=> "PUSH_APPID" : "sp9SYU85sx6sLhYHEvaKG1"
vivo推送的=> "com.vivo.push.app_id" : "100032918"
UniPush推送的=> "MEIZUPUSH_APPID" : "MZ_"
UniPush推送的=> "OPPOPUSH_APPSECRET" : "OP_96o3Egs1N5s0w00480co8k0o"
UniPush推送的=> "MEIZUPUSH_APPKEY" : "MZ_"
UniPush推送的=> "OPPOPUSH_APPKEY" : "OP_3062884"
UniPush推送的=> "MIPUSH_APPID" : "XM_2882303761517447954"
UniPush推送的=> "MIPUSH_APPKEY" : "XM_5861744727954"
个推–推送服务的=> "PUSH_APPSECRET" : "j9mCjjKURw9pjBNuGhK2F9"
vivo推送的=> "com.vivo.push.api_key" : "2.0160509E19"
华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "10493328"
0000016742C00BDA259000000168CE0F13200000016588840DCE7118A0002FBF1C31C3275D78
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCzbMQ22qV6umuPXYWXEOGdlpJR
f6040d0e807aaec325ecf44823765544e92905158169f694b282bf17388632cf95a83bae7d2d235c1f039
99A9343CEC0A64112FD2496EF752F719
b0df1dcca5fda619b6f7f459f2ff8d70ddb7b601592fe29fcae58c028f319b3b12495e67aa5390942a997
767499AE5B2DFC9D873AF46032E13B00
B92825C2BD5D6D6D1E7F39EECD17843B7D9016F611136B75441BC6F4D3F00F05
30820122300d06092a864886f70d01010105000382010f003082010a0282010100c54db230ca0e0f37b105a3cd364dd20c76d3574a781f884aeb7d7548fb33928eaafe7cf9d94b3dcb553bbb9e61821738b359da9f8cf1e9281cfbf84
2A57086C86EF54970C1E6EB37BFC72B1
nfh+OMCoBdl7vnCpoDYPmjYQBkm9fRW6oej33UhZtlnTZjECAsyC2Eybha7jg3Lft
edef8ba9-79d6-4ace-a3c8-27dcd51d21ed
49cb4254efce57d5861aedca86e5baf1205b09cd7f742b38065559f0f70676754915acca5ad6eeaa0d68dfd5143d0a50faedb6cda3b13852705c881ba5b587ecbbb4467cbed08b6754a3f424d90c66fd3b82d48bd5c132b88ff36da668f5adc286ec8317166c70110203010001
a8cb572c8030b2df5c2b622608bea02b0c3e5d4dff3f72c9e3204049a45c0760cd3604af8d57f0e0c693cc
2d1e55658d041b98ce28d81f5c7fe8b85b528f6afea350f28da6e833df875e19a6c71c59050298b28323c8910980c12a8e731e0c47dc14da076e88e25a8b7e9a7c33b27baf12e1c9de861523af15f577789389b700578670b6e37ff5e

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/jarvan/fluwx/c/h.java, line(s) 63
com/zaihui/installplugin/a.java, line(s) 38,131,152
d/a/k/a/a.java, line(s) 96
d/a/n/g.java, line(s) 134,167,238
d/e/e/c.java, line(s) 121,126
d/e/e/e.java, line(s) 71
d/e/e/f.java, line(s) 39,62
d/e/e/g.java, line(s) 56,98
d/e/e/j.java, line(s) 91,94
d/e/e/k.java, line(s) 168
d/e/i/b.java, line(s) 18
d/e/j/b.java, line(s) 34
d/e/j/c0.java, line(s) 67,79,86,95
d/e/j/d0/b.java, line(s) 133
d/e/j/f.java, line(s) 18,27
d/e/j/h.java, line(s) 14
d/e/j/u.java, line(s) 375
d/e/j/v.java, line(s) 15
d/e/j/x.java, line(s) 25,52,73,94,109,124,145
d/h/a/a.java, line(s) 337,999,1128,1164,1240,1330,1497,1534,1594,1599,1605,1623,1731,1770,1884,1953,2006,2027,2040,2114,2372,2404,2407,2468,2473,2549,2555,1357,86,904,1370,1564,1568,1572,2090,2104,2637
d/i/c.java, line(s) 110
d/i/d.java, line(s) 166
d/i/e.java, line(s) 173,71,83,84,102,116,120
d/k/a/b.java, line(s) 37,46,86
d/l/a/a/i.java, line(s) 1016
f/b/a/n.java, line(s) 17
f/b/a/r.java, line(s) 148,152,187,193,201,270
f/b/a/s.java, line(s) 299,303,308
f/b/a/t.java, line(s) 54
f/d/a/d/b.java, line(s) 62
f/d/a/e/a.java, line(s) 58
f/d/a/h/a.java, line(s) 14
f/d/b/a.java, line(s) 107
f/e/a/a/u0/n.java, line(s) 23,32,38,53,47,59
f/f/a/m/c.java, line(s) 17,23
f/g/a/e/d/a.java, line(s) 22
f/g/a/f/d.java, line(s) 28,23,26,21
f/g/c/a/a.java, line(s) 17
f/g/c/e/a/k.java, line(s) 35,98,117,181
f/g/d/e/a/b/c.java, line(s) 46,54
f/g/d/e/b/c/b.java, line(s) 23,53,71
f/h/b/b/a.java, line(s) 70
f/h/b/c/b/a.java, line(s) 17
f/h/b/c/b/b.java, line(s) 11
f/h/b/c/c/a.java, line(s) 16,19
f/h/b/c/d/a.java, line(s) 37,40,52
f/h/b/c/e/a.java, line(s) 29
f/h/b/c/e/b.java, line(s) 17,20,26
f/h/b/c/f/a.java, line(s) 21,24
f/h/c/a/c/b.java, line(s) 23,29
f/h/d/e/b.java, line(s) 142
f/h/d/k/b.java, line(s) 45,97,106,109,159,168,178
f/j/a/b/b.java, line(s) 41
f/j/a/e/b.java, line(s) 87,124,172
f/j/a/e/l.java, line(s) 24
f/k/a/c.java, line(s) 194,242,366,393,436,445,503,558,575,635,665,750,765,806,819,825,842,846,246,440,689
f/k/a/d.java, line(s) 52,63
f/l/b/a.java, line(s) 82,256,265,325,333,77,78,105,155,197
f/l/b/d/a.java, line(s) 8
f/l/b/d/b.java, line(s) 8
f/l/b/d/c.java, line(s) 8
f/l/b/d/h.java, line(s) 48
f/l/b/d/i.java, line(s) 8
f/l/b/e/b.java, line(s) 304
f/l/b/j/e.java, line(s) 39,44,115,116,243
f/l/b/j/g/d.java, line(s) 29,43,63,35,49,74,31,45,67,27,41,59,33,47,69
f/l/b/j/g/f.java, line(s) 29,43,63,35,49,74,31,45,67,27,41,59,33,47,69
f/l/b/j/h/b.java, line(s) 60
f/l/b/k/d.java, line(s) 31,36,90,99,139,144,163,172,186,192,212,221,260,269,283,289,345,351
f/m/a/t/j.java, line(s) 9
f/m/a/t/p.java, line(s) 80,38,43,68,95,103,60
f/n/b/a/a/b.java, line(s) 10,15
f/n/c/c1.java, line(s) 79,84,91,106,113,123,142,157,56
f/n/c/d5.java, line(s) 94,118
f/o/a/a.java, line(s) 28,40,48
g/a/a/a/a.java, line(s) 84,87
j/h0/b.java, line(s) 323
j/h0/j/i/c.java, line(s) 58,58
m/a/a/a.java, line(s) 108,112
m/a/a/f.java, line(s) 93,92

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
f/g/a/h/c.java, line(s) 112,26,110
f/g/d/e/a/b/c.java, line(s) 33,32,27
f/l/b/i/f.java, line(s) 111,109
f/l/b/j/i/g.java, line(s) 121,119
j/h0/j/c.java, line(s) 110,108,107
j/h0/j/d.java, line(s) 117,115,128,114,114,116
j/h0/j/g.java, line(s) 110,108,107,107
j/h0/j/h.java, line(s) 205,203,202,202

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (store.hispace.hicloud.com) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (uplog.qbox.me) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (metrics.data.hicloud.com) 通信。 

{'ip': '171.15.136.21', 'country_short': 'CN', 'country_long': '中国', 'region': '河南', 'city': '郑州', 'latitude': '34.757778', 'longitude': '113.648613'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (uc.qbox.me) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (a.vmall.com) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (metrics1.data.hicloud.com) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '河南', 'city': '郑州', 'latitude': '34.757778', 'longitude': '113.648613'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ulogs.umengcloud.com) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南京', 'latitude': '32.061668', 'longitude': '118.777992'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (c-hzgt2.getui.com) 通信。 

{'ip': '171.15.136.214', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '嘉兴', 'latitude': '30.752199', 'longitude': '120.750000'}

安全评分: ( Mark 1.8.1)