移动应用安全检测报告:
安全基线评分
安全基线评分 17/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
5
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
58
中危安全漏洞
24
安全提示信息
2
已通过安全项
2
重点安全关注
23
高危安全漏洞 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.MainActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.ApplyLimitActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.ApplyLimitActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.CreditAssessmentActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.CreditAssessmentActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.AuthResultActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.AuthResultActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.laifenqi.android.app.goods.activity.GoodsDetailActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.laifenqi.android.app.goods.activity.GoodsDetailActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.laifenqi.android.app.wxapi.WXEntryActivity) is vulnerable to StrandHogg 2.0
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (19) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_00) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_00) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_01) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_01) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_02) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_02) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_03) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_03) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_04) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_04) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_05) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_05) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_06) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_06) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_07) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_07) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_08) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_08) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_09) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_09) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_00_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_00_T) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_01_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_01_T) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_02_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SGTKStub_02_T) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (19) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_00) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_01) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_02) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_03) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_04) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_05) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_06) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_07) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_08) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_09) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_00_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_01_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.tencent.tinker.loader.hotplug.ActivityStubs$SIStub_02_T) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: cn/fraudmetrix/octopus/aspirit/utils/OctoTrustManger.java, line(s) 40,12,13,14,15,16,17,18 com/alipayzhima/android/phone/mrpc/core/b.java, line(s) 151,16,5 com/bqs/crawler/cloud/sdk/b/d.java, line(s) 46,5,6,7,8,9,10 com/ishumei/e/b.java, line(s) 246,20,21,22,23,24,25
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: cn/fraudmetrix/octopus/aspirit/activity/OctopusFragment.java, line(s) 384,383 com/bqs/crawler/cloud/sdk/CrawlerCloudActivity.java, line(s) 379,375 com/bqs/crawler/cloud/sdk/view/SuperWebView.java, line(s) 140,132
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/alipay/b/a/a/a/a/c.java, line(s) 27,54 com/alipayzhima/security/mobile/module/commonutils/crypto/d.java, line(s) 56,80 com/bqs/crawler/cloud/sdk/d/a.java, line(s) 31 com/moxie/client/utils/AESCBC.java, line(s) 32,49
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/fraudmetrix/octopus/aspirit/utils/EncryptUtils.java, line(s) 69,80 com/baidu/fsg/base/utils/Crypto.java, line(s) 133,153 com/ishumei/f/b.java, line(s) 11,23
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/laifenqi/android/app/helper/Spf.java, line(s) 76 com/laifenqi/android/app/util/SystemInfo.java, line(s) 334
高危安全漏洞 已启用远程WebView调试
已启用远程WebView调试 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: com/moxie/client/fragment/BaseWebViewFragment.java, line(s) 117,28,29
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.BrowserSchemeHandlerActivity) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危安全漏洞 Activity (com.laifenqi.android.app.ui.activity.DKResultAct) 未被保护。
存在一个intent-filter。 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。
中危安全漏洞 Broadcast Receiver (com.laifenqi.android.app.ui.receiver.TinkerPatchResultReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危安全漏洞 Broadcast Receiver (com.laifenqi.android.app.xinge.receiver.MessageReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.tencent.android.tpush.rpc.XGRemoteService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Content Provider (com.tencent.android.tpush.XGPushProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Content Provider (com.tencent.mid.api.MidProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.laifenqi.android.app.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.tencent.android.tpush.XGPushReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危安全漏洞 Service (com.tencent.android.tpush.service.XGPushServiceV3) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity设置了TaskAffinity属性
(com.alibaba.security.biometrics.face.auth.FaceLivenessActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cn/fraudmetrix/octopus/aspirit/utils/OctopusCrashHandler.java, line(s) 119,120 cn/fraudmetrix/octopus/aspirit/utils/OctopusFileUtils.java, line(s) 16,15 com/alipay/b/a/a/b/b.java, line(s) 84,353,354 com/alipay/b/a/a/d/b.java, line(s) 10,21,22 com/alipayzhima/security/mobile/module/deviceinfo/a.java, line(s) 287,288 com/alipayzhima/security/mobile/module/localstorage/b.java, line(s) 10,23,34,35 com/baidu/fsg/base/utils/CheckUtils.java, line(s) 252,253 com/baidu/fsg/base/utils/LogUtil.java, line(s) 165 com/baidu/fsg/base/utils/ResUtils.java, line(s) 242 com/baidu/fsg/ocr/camera/util/ImageUtils.java, line(s) 46 com/baidu/vi/VDeviceAPI.java, line(s) 185,190,198 com/ishumei/a/f.java, line(s) 38 com/laifenqi/android/app/helper/AntiFraudService.java, line(s) 165 com/laifenqi/android/app/helper/webChrome/ContentUtil.java, line(s) 23 com/laifenqi/android/app/helper/webChrome/ImageUtil.java, line(s) 30,34 com/laifenqi/android/app/util/SystemInfo.java, line(s) 286 com/moxie/client/file/FileConstant.java, line(s) 16,36 com/moxie/client/manager/ScreenCapturer.java, line(s) 140 com/qufenqi/android/tinkerhelper/Log/DiskTinkerLogImp.java, line(s) 28,35,36,50 com/qufenqi/android/toolkit/helper/AntiCheatingHelper.java, line(s) 167 com/qufenqi/android/toolkit/util/StdFileUtils.java, line(s) 22,50,64,65 com/tencent/mid/b/c.java, line(s) 30 com/tencent/mid/util/j.java, line(s) 173,174 com/zbar/lib/decode/DecodeHandler.java, line(s) 47
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/baidu/fsg/base/restnet/RestMultipartEntity.java, line(s) 9 com/baidu/fsg/base/utils/PhoneUtils.java, line(s) 56 com/baidu/fsg/base/utils/RandomUtils.java, line(s) 3 com/baidu/fsg/base/widget/SafeKeyBoardPopupWindow.java, line(s) 20 com/bqs/crawler/cloud/sdk/b/a.java, line(s) 11 com/ishumei/f/e.java, line(s) 4 com/moxie/client/utils/AESECB.java, line(s) 3 com/qufenqi/android/toolkit/helper/RandomHelper.java, line(s) 3 com/tencent/mid/util/Util.java, line(s) 38 com/xiaomi/smack/util/d.java, line(s) 4
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/baidu/fsg/base/BaiduRimConstants.java, line(s) 5,6,8,7,9,11,12,13,15 com/baidu/fsg/base/armor/RimArmor.java, line(s) 7 com/baidu/fsg/base/restnet/beans/ApollonBean.java, line(s) 15,78,14 com/baidu/fsg/base/restnet/beans/business/UploadBean.java, line(s) 34,33 com/baidu/fsg/base/restnet/beans/business/core/PassUtil.java, line(s) 13 com/baidu/fsg/base/widget/textfilter/EditTextPasteFilterUtils.java, line(s) 14 com/baidu/fsg/ocr/BaiduOCR.java, line(s) 24,14,27,31 com/bqs/crawler/cloud/sdk/view/H5LoginWebView.java, line(s) 247 com/laifenqi/android/app/goods/dialog/InputH5Dialog.java, line(s) 15 com/qufenqi/android/uitoolkit/view/dialog/SwitchEnvironmentDialog.java, line(s) 23,24 rx/internal/schedulers/NewThreadWorker.java, line(s) 27,36
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/fraudmetrix/octopus/aspirit/utils/EncryptUtils.java, line(s) 90 com/alipay/b/a/a/a/a.java, line(s) 75 com/alipay/b/a/a/a/a/b.java, line(s) 12 com/alipay/b/a/a/a/a/c.java, line(s) 37 com/alipayzhima/security/mobile/module/commonutils/a.java, line(s) 60 com/alipayzhima/security/mobile/module/commonutils/crypto/b.java, line(s) 11 com/alipayzhima/security/mobile/module/commonutils/crypto/d.java, line(s) 72 com/baidu/fsg/base/utils/Crypto.java, line(s) 49,69 com/hianalytics/android/v1/c.java, line(s) 42 com/moxie/client/utils/AESCBC.java, line(s) 19 com/tencent/mid/util/Util.java, line(s) 152
中危安全漏洞 IP地址泄露
IP地址泄露 Files: cn/fraudmetrix/octopus/aspirit/main/OctopusManager.java, line(s) 33,178 com/alipayzhima/android/phone/mrpc/core/v.java, line(s) 164 com/baidu/fsg/base/a.java, line(s) 13 com/baidu/fsg/base/restnet/beans/business/BeanConstants.java, line(s) 23 com/moxie/client/commom/GlobalConstants.java, line(s) 4 com/moxie/client/crash/CrashReportDataFactory.java, line(s) 54 com/moxie/client/restapi/LoadBaseConfigApi.java, line(s) 14 com/tencent/mid/a/a.java, line(s) 51
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: cn/fraudmetrix/octopus/aspirit/activity/OctopusFragment.java, line(s) 283,235 com/bqs/crawler/cloud/sdk/CrawlerCloudActivity.java, line(s) 340,322 com/bqs/crawler/cloud/sdk/view/SuperWebView.java, line(s) 187,76 com/laifenqi/android/app/view/ProgressWebView.java, line(s) 46,44 com/moxie/client/fragment/WebViewECV3Fragment.java, line(s) 41,42
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/bqs/crawler/cloud/sdk/CrawlerCloudActivity.java, line(s) 336,322 com/laifenqi/android/app/goods/presenter/GoodsDetailPresenter.java, line(s) 45,47 com/laifenqi/android/app/ui/dialog/LotteryDialog.java, line(s) 34,36 com/laifenqi/android/app/view/ProgressWebView.java, line(s) 42,44 com/moxie/client/widget/CustomWebView.java, line(s) 57,46
中危安全漏洞 此应用程序可能会请求root(超级用户)权限
此应用程序可能会请求root(超级用户)权限 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/alipayzhima/apmobilesecuritysdk/apdid/i.java, line(s) 124,127,129,124,127,129,124,127,129
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/fraudmetrix/octopus/aspirit/utils/EncryptUtils.java, line(s) 18 cn/tongdun/android/shell/common/a.java, line(s) 65 com/baidu/fsg/base/restnet/beans/business/core/PayUtils.java, line(s) 125 com/baidu/fsg/base/statistics/a.java, line(s) 151 com/baidu/fsg/base/utils/Md5Utils.java, line(s) 92,110 com/ishumei/f/f.java, line(s) 268 com/moxie/client/utils/CommonMethod.java, line(s) 240 com/qufenqi/android/toolkit/util/MD5Utils.java, line(s) 20 com/tencent/mid/util/Util.java, line(s) 477
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/baidu/fsg/base/statistics/i.java, line(s) 6,7,61 com/ishumei/b/g.java, line(s) 8,9,164 com/laifenqi/android/app/xinge/DBOpenHelper.java, line(s) 4,5,18 com/laifenqi/android/app/xinge/NotificationService.java, line(s) 6,105
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 腾讯云 信鸽推送SDK的=> "XG_V2_ACCESS_ID" : "2100076858" 百度地图的=> "com.baidu.lbsapi.API_KEY" : "3mQgpnmq18K0q9ZbiNKWsR5z" 友盟统计的=> "UMENG_CHANNEL" : "qudian" 腾讯云 信鸽推送SDK的=> "XG_V2_ACCESS_KEY" : "A1BAJ56Y3L6F" 凭证信息=> "XG_V2_SECRET_KEY" : "0ad6445ba85b7c4954ef499fba49c0b7" 友盟统计的=> "UMENG_APPKEY" : "5577ac5367e58eb28b00165f" "rim_base_safekeyboard_key_4" : "4" "digits_password" : "1234567890AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz" "rim_base_safekeyboard_key_X" : "X" "rim_base_safekeyboard_key_1" : "1" "rim_base_safekeyboard_key_3" : "3" "rim_base_safekeyboard_key_6" : "6" "rim_base_safekeyboard_key_5" : "5" "rim_base_safekeyboard_key_8" : "8" "rim_base_safekeyboard_key_2" : "2" "rim_base_safekeyboard_key_0" : "0" "rim_base_safekeyboard_key_7" : "7" "rim_base_safekeyboard_key_9" : "9" MIICdQIBADANBgkqhkiG9w0BAQEFAASCAl8wggJbAgEAAoGBAKcAywBQs/ef49Dg W6VLf6PitAIkKiFuVXBeTe54CSc8jB 919a8bd197908c8b919e929a 989a8bb396919aceb18a929d9a8d 9c8d9a9e8b9adf8d9a8b8a8d91df8c92969bdf9a928f8b86 e2380b201325a8f252636350338aeae8 988c92d18c9692d18c8b9e8b9a 49668163590f816aaf863df014568115 9e919b8d90969bd18b9a939a8f97909186d1b2ac9692ab9a939a8f97909186b29e919e989a8d cb072839e1e240a23baae123ca6cf165 nEhjywahGZMi2IZimwnu36D0BTEavB4faztjUPTmHsG3Jj1ZbD7JpAkBIskv4QsuU c82c403505338808201aad86f8194734 9e919b8d90969bd18b9a939a8f97909186d1ab9a939a8f97909186b29e919e989a8d cb072839e1e240a23ccc123ca6cf165 574d498a67e58e10c9001c4f 9e919b8d90969bd18f8d9089969b9a8dd1ac9a8b8b9691988cdbac9a9c8a8d9a 7d6b5fb0-b907-4629-8cb3-86282f5cf1c0 nfZaJPtEWETtJfIA4Gl4FgTex5qagv4J3a+FsJsn2ks5FO6wNLNgaDgUYTcYRQXzm nFFa78kRLV4fcnXqRYQJBANcze/DwPY4n1MBhTi9Ime07xnTbkCPbcoSQ+W5gt8Bw 809bd36cf78612fd1f11b739c382bfac neLoFCZZtAYBiA13QEF8/V+FU+wIpAkAM2+FmRRSWRXexMdVDGk7oSdFQ10SHfHqp 9b9e93899694d18c868c8b9a92d1bb9a87af9e8b97b3968c8b 9e919b8d90969bd18b9a939a8f97909186d1bc9a9393b6919990bc9b929e nMReVAkBfHiNvGFCsz5AqxBeRsK5QfDY4mn94SduxGn8VOWyegy+5c7NhfAO8zCSi 889109d126886bd98bc8f6a70d138545 b62f7aea9613b98976498a9ecabe537b cd387026fa6dd482d3e49dd87949204eec38db08 9e919b8d90969bd19d938a9a8b90908b97d1b6bd938a9a8b90908b97b29e919e989a8ddbac8b8a9d 988c92d1919a8b88908d94d18b868f9a nHrQoK1jm9sUfMEEr5ZC1+rnnzsZ86wmco6IlMh+9eV6bos25F7Zbrzbo+sh77lzx 4kU71lN96TJUomD1vOU9lgj9U+kKmxDPLVM+zzjst5U= d08c868cd09b9a89969c9a8cd08c868c8b9a92d09c8f8ad08f8d9a8c9a918b a78f908c9a9bbd8d969b989ad1959e8d d7254619eb6451d47b8e2a76476cfb0860698cc1 8f9a8d8c968c8bd18c868cd1939e91988a9e989a 9e919b8d90969bd18b9a939a8f97909186d1ab9a939a8f97909186b29e919e989a8dcd 2b84c099c8c04c71ba6c9e23e0350b91 9e919b8d90969bd18b9a939a8f97909186d1bc9a9393b6919990b38b9a 9d909e8d9bd39b9a89969c9ad3979e8d9b889e8d9ad392909b9a93d38c9a8d969e93d39d9e919bd39d8d9e919bd39b968c8f939e86d3929e918a999e9c8b8a8d9a8dd38f8d909b8a9c8bd3999691989a8d8f8d96918bd39c8f8aa09e9d96d39c8f8aa09e9d96cd 796abd1989216d4cec4c015679a0d73f a01625815f3428cb69100cc5d613fa7d 9e919b8d90969bd1908cd1bd8a96939b 9e919b8d90969bd18b9a939a8f97909186d1bc9a9393b6919990b88c92 989a8bac9692ac9a8d969e93b18a929d9a8d 6X8Y4XdM2Vhvn0KfzcEatGnWaNU= 9e919b8d90969bd1908cd1ac9a8d89969c9ab29e919e989a8d d09c8f8a998d9a8ed09c8f8a96919990a0929e87a0998d9a8e 959e899ed1919a8bd1b19a8b88908d94b6918b9a8d999e9c9a 9e919b8d90969bd19d938a9a8b90908b97d1b6bd938a9a8b90908b97b29e919e989a8d 03a976511e2cbe3a7f26808fb7af3c05 b3c61531d3a785d8af140218304940e5b24834d3 9b9e93899694d18c868c8b9a92d1bb9a87af9e8b97b3968c8bdbba939a929a918b nKvY30LM8nEwCKdL3xKJANbc6NUDHt+zvkvG7dv0bpDklXgJwT0TSuvNwK/PEW0uH bc8f6a70d138545889109d126886bd98 oziPyDMjS2YZER1To8Ihr6aAnog7ALSA 8d90d19d8a96939bd1abbeb88c 26854f1fab6142a5b93f3436a5ce6e2a 8cd0604ba33e2ba7f38a56f0aec08a54 n9RAooOwh4BQjBH8w6mNnoaekJGZkEsr667NfpQNIsu9Tv/tJhMlRAfjEFIyqGYXV 5f389fef5fd41c84a33a91c6574cbf51 nVY2L5aGqmw2gXP0VHDwwmDY3XDENAgMBAAECgYAJ1rUe9qIzo3rTcnC8omUzXqAJ nHc5hYWj+pBY8BS8ttCvCsoaPsdXptb24JNUxC8nGdZkCQQDGqhQqZNWYkLblqMNY 24907259431961377209480304447420314675278854956424737688244507998454379688588314890162679979323703303509240796245532111474023047392580178709435281576624542294613207523485034492914828565153172773053351891188090398210811384185501117117991603774176386409127476628856566065613009756131651597266262540467980974946876675842468600552312158771248419700603327630677244315755445967726919102965015263135288381740211593751262078285738436597133664401598420056690274760726854877181978220226448211936820860496708860964018593025172845041095854180953040116559241637133730839837036910305932797451786785855051024967644159284784940216337 9e919b8d90969bd18f8d9089969b9a8dd1ac9a8b8b9691988cdbac868c8b9a92 979e8cb2908d9aba939a929a918b8c 9e919b8d90969bd18b9a939a8f97909186d1bc9a9393b6919990a89c9b929e 9e919b8d90969bd19d938a9a8b90908b97d1bd938a9a8b90908b97be9b9e8f8b9a8d 4dc1a52d3450a406972a9124bc089753 9e919b8d90969bd1908cd1ac868c8b9a92af8d908f9a8d8b969a8c d08c868cd09b9a89969c9a8cd08c868c8b9a92d09c8f8ad08f908c8c969d939a 989a8bac9692b08f9a8d9e8b908d 919a8bd1988f8d8cd193909c9e93d2968f QmFpZHVfRlNHX1JJTV9TREtfQ3Jhc2hfbG9nX1BhdGg= 37dbd151eb3ca24477bc27cf0febcbe3 9e919b8d90969bd19d938a9a8b90908b97d1b6bd938a9a8b90908b97dbac8b8a9ddbaf8d908786 8c92969bb99e9693ac8b908d9a 8d90d19d8a96939bd19b9e8b9ad18a8b9c ncg9dV9gWufUP30y8k1+GAtaajpxb3p0rhQmt7EK3x4MoFaiDuT/LQiDijBk5pAXw
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/fraudmetrix/octopus/aspirit/activity/OctopusFragment.java, line(s) 379,385,395,401,478 cn/fraudmetrix/octopus/aspirit/activity/OctopusMainActivity.java, line(s) 212 cn/fraudmetrix/octopus/aspirit/activity/OctopusPresenter.java, line(s) 82,120,128,151,162,173,181,191,195,200,205,217,240,247,256,415,470,477,494,546,552 cn/fraudmetrix/octopus/aspirit/main/OctopusManager.java, line(s) 122 cn/fraudmetrix/octopus/aspirit/net/DownloadHelper.java, line(s) 65,73,81,92,115,173,175,178,197 cn/fraudmetrix/octopus/aspirit/net/HUCNetHelperImpl.java, line(s) 88,115,174,176,179,198 cn/fraudmetrix/octopus/aspirit/net/NetHelper.java, line(s) 72,81 cn/fraudmetrix/octopus/aspirit/net/OctopusIntentService.java, line(s) 39,57,70,76,96,105 cn/fraudmetrix/octopus/aspirit/utils/OctPreference.java, line(s) 27 cn/fraudmetrix/octopus/aspirit/utils/OctopusCrashHandler.java, line(s) 100,132 cn/fraudmetrix/octopus/aspirit/utils/OctopusLog.java, line(s) 54,64,74,84,104,14,24,94,34,44 cn/tongdun/android/shell/utils/LogUtil.java, line(s) 46,51,63,71,36,75 com/ali/sec/livenesssdk/LivenessJni.java, line(s) 14,19 com/alipayzhima/android/phone/mrpc/core/al.java, line(s) 20,26 com/alipayzhima/android/phone/mrpc/core/b.java, line(s) 101,111 com/alipayzhima/android/phone/mrpc/core/gwprotocol/d.java, line(s) 21 com/alipayzhima/android/phone/mrpc/core/gwprotocol/e.java, line(s) 32,35 com/alipayzhima/android/phone/mrpc/core/h.java, line(s) 14 com/alipayzhima/android/phone/mrpc/core/l.java, line(s) 72 com/alipayzhima/android/phone/mrpc/core/p.java, line(s) 76 com/alipayzhima/android/phone/mrpc/core/v.java, line(s) 106,194,197,217,227,406,416,428,436,443,452,459,466,473,480,487,494,501,508,207,317,337 com/alipayzhima/android/phone/mrpc/core/w.java, line(s) 13 com/alipayzhima/android/phone/mrpc/core/x.java, line(s) 17 com/alipayzhima/apmobilesecuritysdk/face/a.java, line(s) 52 com/alipayzhima/security/mobile/module/commonutils/c.java, line(s) 40 com/alipayzhima/security/mobile/module/commonutils/crypto/c.java, line(s) 15,30 com/alipayzhima/security/mobile/module/commonutils/d.java, line(s) 65 com/alipayzhima/security/mobile/module/http/b.java, line(s) 100,112,115 com/baidu/fsg/base/b/a.java, line(s) 148,160,172,235 com/baidu/fsg/base/restnet/rest/f.java, line(s) 27,26 com/baidu/fsg/base/router/LocalRouter.java, line(s) 47,48,50,59 com/baidu/fsg/base/router/RouterManager.java, line(s) 29,32 com/baidu/fsg/base/utils/CheckUtils.java, line(s) 271,263 com/baidu/fsg/base/utils/LogUtil.java, line(s) 45,47,88,90,109,115,62,64,97,103,32,34,75,77,121,127,143 com/baidu/fsg/base/utils/NetworkUtils.java, line(s) 152,159,164 com/baidu/fsg/base/utils/PhoneUtils.java, line(s) 115,138,151,319,441,465,521,526,676,242,577 com/baidu/fsg/base/utils/ResUtils.java, line(s) 145,146,166,167,210,213,188,191,193,196,203,239,258 com/baidu/fsg/base/utils/SafeUtils.java, line(s) 26 com/baidu/idcardquality/IDcardQualityProcess.java, line(s) 27,32,97,98 com/hianalytics/android/v1/d.java, line(s) 102 com/ishumei/f/c.java, line(s) 42,49,76,62,69 com/laifenqi/android/app/config/Initializations.java, line(s) 126,132,138,150,184,189,191,195,198,201,204,223,232 com/laifenqi/android/app/goods/activity/ConfirmOrderActivity.java, line(s) 614 com/laifenqi/android/app/goods/dialog/HappenErrorDialog.java, line(s) 51 com/laifenqi/android/app/helper/AntiFraudService.java, line(s) 110 com/laifenqi/android/app/helper/bqs/BqsHelper.java, line(s) 55 com/laifenqi/android/app/helper/bqs/ViewLoginActivity.java, line(s) 189,194,199 com/laifenqi/android/app/helper/moxie/MoxieHelper.java, line(s) 63,75,81,117,120 com/laifenqi/android/app/helper/ptp/PtpActivityLifecycleCallback.java, line(s) 207 com/laifenqi/android/app/helper/webChrome/CustomChromeClient.java, line(s) 127,189 com/laifenqi/android/app/helper/webChrome/ImageUtil.java, line(s) 55,63,69,85,60,79 com/laifenqi/android/app/hwpush/HwPushHelper$1.java, line(s) 18,17 com/laifenqi/android/app/hwpush/HwPushHelper$2.java, line(s) 15,24,13,23 com/laifenqi/android/app/hwpush/HwPushHelper$3.java, line(s) 16 com/laifenqi/android/app/hwpush/HwPushHelper$5.java, line(s) 14 com/laifenqi/android/app/hwpush/HwPushHelper$6.java, line(s) 19,36,40,42,55 com/laifenqi/android/app/hwpush/HwPushHelper$7.java, line(s) 12 com/laifenqi/android/app/hwpush/HwPushHelper.java, line(s) 24,30,38,40,53,76,80,82,90,94,96 com/laifenqi/android/app/hwpush/MessageReceiver.java, line(s) 72,30,73,74,79,86,92 com/laifenqi/android/app/ocr/OCRResultHandler.java, line(s) 58,93,113 com/laifenqi/android/app/presenter/StartupPresenter$3.java, line(s) 57 com/laifenqi/android/app/presenter/StartupPresenter.java, line(s) 55 com/laifenqi/android/app/ui/widgets/Panel.java, line(s) 86 com/laifenqi/android/app/ui/widgets/TopicStickyLayoutHelper.java, line(s) 115 com/laifenqi/android/app/ui/widgets/flowlayout/TagAdapter.java, line(s) 78,82 com/laifenqi/android/app/ui/widgets/flowlayout/TagFlowLayout.java, line(s) 108 com/laifenqi/android/app/view/ProgressWebView$1$1.java, line(s) 34 com/laifenqi/android/app/view/ProgressWebView$1$2.java, line(s) 32,41 com/laifenqi/android/app/view/ProgressWebView$4.java, line(s) 21 com/laifenqi/android/app/xmpush/XmPushMessageReceiver.java, line(s) 30,37,41,48,67,84,90,155,160,172 com/moxie/client/commom/CommonAsyncTask.java, line(s) 65 com/qq/taf/jce/HexUtil.java, line(s) 60 com/qq/taf/jce/JceDisplayer.java, line(s) 665 com/qq/taf/jce/JceOutputStream.java, line(s) 388,389 com/qufenqi/android/calendar/CalendarEventHelper.java, line(s) 54,79 com/qufenqi/android/mallplugin/view/roundedimageview/QdRoundedImageView.java, line(s) 239 com/qufenqi/android/mallplugin/view/roundedimageview/RoundedDrawable.java, line(s) 99 com/qufenqi/android/tinkerhelper/Log/DiskTinkerLogImp.java, line(s) 51,117,130,144,91,78,69,104 com/qufenqi/android/tinkerhelper/util/PatchHelper$1.java, line(s) 17 com/qufenqi/android/tinkerhelper/util/PatchHelper.java, line(s) 31,33,42,46,55 com/qufenqi/android/toolkit/util/L.java, line(s) 26,32,38,45,47,14,20 com/qufenqi/android/trace/util/TraceLogger.java, line(s) 30,36,42,49,51,18,24 com/qufenqi/android/trace/util/Utils.java, line(s) 36 com/qufenqi/imageloadhelper/helper/RequestHandler.java, line(s) 121 com/qufenqi/imageloadhelper/helper/StatsSnapshot.java, line(s) 43 com/qufenqi/imageloadhelper/helper/Utils.java, line(s) 124 com/tencent/mid/a/j.java, line(s) 77,104 com/tencent/mid/util/Util.java, line(s) 190,228,236,82,97,130,434,211,307,314,238,444 com/tencent/mid/util/f.java, line(s) 112,53,99,60,86 com/xiaomi/metoknlp/geofencing/a.java, line(s) 96,112,132,139,142,153,158,168,173,146,36,49,102,118 com/xiaomi/metoknlp/geofencing/b.java, line(s) 18,28 com/xiaomi/smack/g.java, line(s) 92 com/xiaomi/smack/util/a.java, line(s) 248,280 com/zbar/lib/camera/AutoFocusCallback.java, line(s) 25 com/zbar/lib/camera/CameraConfigurationManager.java, line(s) 177,188 com/zbar/lib/camera/FlashlightManager.java, line(s) 15,17,49,60,69,72,75 com/zbar/lib/camera/PreviewCallback.java, line(s) 35 com/zmxy/ZMCertification.java, line(s) 105,107 me/yokeyword/fragmentation/Fragmentation.java, line(s) 171,314,454 org/greenrobot/eventbus/BackgroundPoster.java, line(s) 41 org/greenrobot/eventbus/EventBus.java, line(s) 302,413,415,424,183 org/greenrobot/eventbus/util/AsyncExecutor.java, line(s) 98 org/greenrobot/eventbus/util/ErrorDialogConfig.java, line(s) 34 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 216 org/greenrobot/eventbus/util/ExceptionToResourceMapping.java, line(s) 27 rx/internal/util/IndexedRingBuffer.java, line(s) 27 rx/internal/util/RxRingBuffer.java, line(s) 29 rx/plugins/RxJavaHooks.java, line(s) 206 tinker/sample/android/Log/MyLogImp.java, line(s) 62,72,82,42,32,23,52 tinker/sample/android/crash/SampleUncaughtExceptionHandler.java, line(s) 24,46,72,76,33,37 tinker/sample/android/reporter/SamplePatchListener.java, line(s) 16 tinker/sample/android/reporter/SampleTinkerReport.java, line(s) 216,320,324,331,335,417,415,466 tinker/sample/android/service/SampleResultService.java, line(s) 21,24,35,39,49,63 tinker/sample/android/util/TinkerManager.java, line(s) 41,50 tinker/sample/android/util/Utils$ScreenState$1.java, line(s) 21
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/laifenqi/android/app/util/Utils.java, line(s) 6,315
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: cn/fraudmetrix/octopus/aspirit/utils/OctoTrustManger.java, line(s) 84,52,80,80 com/bqs/crawler/cloud/sdk/b/b.java, line(s) 662,619 com/laifenqi/android/app/api/service/ApiServiceControl.java, line(s) 57,57,61,65,69,74
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/baidu/fsg/base/restnet/beans/business/core/utils/SecurityUtils.java, line(s) 10,10,13,13 com/laifenqi/android/app/helper/AntiFraudService.java, line(s) 146,147 com/qufenqi/android/toolkit/helper/AntiCheatingHelper.java, line(s) 245,246
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.megvii.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (resolver.msg.xiaomi.net) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zmopenapi.zmxy.com.cn) 通信。
{'ip': '203.209.247.12', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (shenceapi.qufenqi.com) 通信。
{'ip': '47.96.144.199', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.faceid.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.weibo.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cloudconf.fengkongcloud.com) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hydra.alibaba.com) 通信。
{'ip': '203.119.169.227', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (passport.suning.com) 通信。
{'ip': '49.67.73.86', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lfqshop.qufenqi.com) 通信。
{'ip': '120.55.69.127', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tracker.fengkongcloud.com) 通信。
{'ip': '49.4.32.196', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (query.hicloud.com) 通信。
{'ip': '49.4.32.196', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lfq.qufenqi.com) 通信。
{'ip': '120.55.69.127', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (fp-bj.fengkongcloud.com) 通信。
{'ip': '36.110.225.236', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.51datakey.com) 通信。
{'ip': '154.210.29.206', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (credit.baiqishi.com) 通信。
{'ip': '120.76.0.11', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (data.hicloud.com) 通信。
{'ip': '118.194.33.124', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lfqapi.qufenqi.com) 通信。
{'ip': '120.55.69.127', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.weibo.cn) 通信。
{'ip': '49.7.37.118', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.umsns.com) 通信。
{'ip': '59.82.29.248', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (service.weibo.com) 通信。
{'ip': '106.63.15.10', 'country_short': 'CN', 'country_long': '中国', 'region': '天津', 'city': '天津', 'latitude': '39.142181', 'longitude': '117.176102'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.51datakey.com) 通信。
{'ip': '154.210.29.206', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}