安全分析报告: 躺平躲猫猫 v1.2

安全分数


安全分数 47/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

1

用户/设备跟踪器


调研结果

高危 4
中危 18
信息 2
安全 2
关注 37

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
com/ss/union/game/sdk/core/browser/BrowserFragment.java, line(s) 339,338
com/ss/union/game/sdk/core/browser/BrowserNoJsFragment.java, line(s) 315,314
com/ss/union/game/sdk/pay/fragment/NoAccountPayFragment.java, line(s) 383,382
com/ss/union/game/sdk/pay/fragment/PayFragment.java, line(s) 379,378

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/ss/union/game/sdk/pay/fragment/NoAccountPayFragment.java, line(s) 425,19,20
com/ss/union/game/sdk/pay/fragment/PayFragment.java, line(s) 421,19,20

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
f/a/b/a/a/a/a/c.java, line(s) 30,79

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据可以被备份 

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.ss.union.game.sdk.account.third.activity.TikTokLoginEntryActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.ss.union.game.sdk.account.third.activity.TikTokLoginEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.bytedance.sdk.account.platform.onekey.SimStateReceive) 未被保护。 

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/bytedance/bdturing/a.java, line(s) 411,543
com/ss/android/token/TTTokenMonitor.java, line(s) 13
com/ss/union/game/sdk/core/glide/load/Option.java, line(s) 72
com/ss/union/game/sdk/core/glide/load/engine/d.java, line(s) 36
com/ss/union/game/sdk/core/glide/load/engine/l.java, line(s) 102
com/ss/union/game/sdk/core/glide/load/engine/p.java, line(s) 72
com/ss/union/game/sdk/d/d/i/e.java, line(s) 70,150
d/b/a/s/g.java, line(s) 276,314
f/d/a/i.java, line(s) 297,354

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/apm/insight/h.java, line(s) 8
com/ss/union/game/sdk/c/f/l0.java, line(s) 12
d/b/a/g/e.java, line(s) 12
f/d/a/z2.java, line(s) 9
g/c/a/k0/p/a.java, line(s) 20
g/c/a/k0/p/d.java, line(s) 10
g/c/a/z.java, line(s) 19

中危 IP地址泄露 

IP地址泄露


Files:
com/ss/union/game/sdk/account/e/f.java, line(s) 187
com/ss/union/game/sdk/d/d/a/b.java, line(s) 75
com/ss/union/game/sdk/d/d/f/c.java, line(s) 20,19,9
com/ss/union/game/sdk/d/d/i/a.java, line(s) 255,253
com/ss/union/game/sdk/d/d/j/d/c.java, line(s) 31
com/ss/union/game/sdk/v/account/a.java, line(s) 15
com/ss/union/game/sdk/v/ad/b.java, line(s) 15
com/ss/union/game/sdk/v/core/a.java, line(s) 24,23,15
com/ss/union/game/sdk/v/pay/a.java, line(s) 15
com/ss/union/game/sdk/vcenter/b.java, line(s) 15
f/d/a/u3.java, line(s) 254
f/f/a/a/f.java, line(s) 15

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/apm/insight/e/b/a.java, line(s) 4,40
com/apm/insight/e/b/b.java, line(s) 5,42
com/bytedance/bdturing/b/a.java, line(s) 4,5,14
com/cocos/lib/CocosLocalStorage.java, line(s) 5,6,51
com/ss/union/game/sdk/d/d/c/b.java, line(s) 5,54
com/ss/union/game/sdk/d/d/i/l.java, line(s) 6,7,223
d/b/a/r/d.java, line(s) 6,7,188
f/d/a/h1.java, line(s) 6,7,174

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/apm/insight/l/v.java, line(s) 134
com/ss/union/game/sdk/c/f/l.java, line(s) 68,93,111
com/ss/union/game/sdk/c/f/p.java, line(s) 87,36
com/ss/union/game/sdk/c/f/t.java, line(s) 20
com/ss/union/game/sdk/pay/f/a.java, line(s) 22
com/wh/authsdk/i.java, line(s) 109
com/wh/authsdk/z.java, line(s) 15,81,121,149
d/b/a/s/h.java, line(s) 35
f/d/a/n.java, line(s) 35

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/apm/insight/entity/d.java, line(s) 21
com/apm/insight/l/w.java, line(s) 38,88,99
com/apm/insight/nativecrash/b.java, line(s) 724
com/apm/insight/runtime/o.java, line(s) 261,303
com/bytedance/bdturing/f.java, line(s) 432
com/cocos/lib/CocosHelper.java, line(s) 238
com/ss/union/game/sdk/c/f/m.java, line(s) 63
com/ss/union/game/sdk/c/f/n.java, line(s) 259,49,271,285
com/ss/union/game/sdk/d/d/b/a.java, line(s) 33,141,207
com/ss/union/game/sdk/d/d/e/c.java, line(s) 59
com/ss/union/game/sdk/d/d/i/q.java, line(s) 84,87
com/ss/union/game/sdk/feedback/picture/select/c.java, line(s) 87,121
com/wh/authsdk/x.java, line(s) 160
d/b/a/s/g.java, line(s) 58,65
f/a/b/a/a/b/b.java, line(s) 519,804,805
f/a/b/a/a/c/c.java, line(s) 12,24,28
f/d/a/i.java, line(s) 65,72

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/bytedance/bdturing/d.java, line(s) 276,275

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/ss/union/game/sdk/c/f/l.java, line(s) 48,18
d/b/b/t.java, line(s) 68,86
f/a/b/a/a/a/a/b.java, line(s) 11
f/a/b/a/a/a/a/c.java, line(s) 29,78
f/a/b/a/a/a/b.java, line(s) 84
f/d/a/j1.java, line(s) 126,144

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/ss/union/game/sdk/feedback/picture/select/e.java, line(s) 509

中危 应用程序包含隐私跟踪程序 

此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"lg_pay_key" : "b53cc1d7e6231ae2efb927b0296ce7af"
258EAFA5-E914-47DA-95CA-C5AB0DC85B11
nMghV1vlADTtncJxefJ9M2vg9T1ghyVYg4HlYeT8AxOv926Ex83tdEiiHhf9o43s0
nkK1FvLcVVDmTu6KJ9jpnew5JYllxQQE1uTBaCr/5qGdmK9D8imW8xfUq2szEUEjT
c68a23a3b02a90c5a62be3a93824c26442662b92dbf634dfea1fdf321c45ea008bd068e45becef8bd733c06fed9cc92be9c0c0cd0cf28c6e6c8d96c51257c6db
9903CE71591C3B3D9C167709C0EA010A2C893855CFCA47BFC31F3C5599A18E3EAE9562CC32C46F49A357D254C8F5FB79
nCJunmb3Z/lcYg5uXFk2kwD3zNp+b6Br8HlF33jloiCVVGcwPDgsETJbX+4UCQAnx
61694822cf6a36032da01076
MIICXAIBAAKBgQCyEFRPAsPPveGVFOB1pdduJpiNMghV1vlADTtncJxefJ9M2vg9
ncqPPsqc68qsIIeuYC/T09ibiyr9e6G8txbcCQAW9nUUrtCO5K+SPk1i81YlJcPZa
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
d9c03ff42cf771efc2d42838c599e550
n5REzFmL+ew+lp3HZPDdTeWuHNX46aUcODhnXTZUm00I4+0BJrqbj34pRlKXpJAfL
nNX46aUcODhnXTZUm00I4+0BJrqbj34pRlKXpJAfLmsp5CsAEN7qMPpg2QwIDAQAB
99da6cafba15d576fee6786e88958ef14548ccee7810b605fa6f4dbbcddfa48af3212d4e12e958ecd3d653f7df746f7773000694eb19c885b8f2a5503c87792d4e8acec0dcc150e44b94225a4d3ed6a67354bd98a778466c93e09403b1ba13a7162986e7
nAoGBAKXLOITcwS+D0C+8YYaJZP5F55LIPCSY5jkyWNZmbuI3TSgFVk/XueqziYNR
ndi6Ke9rz1QJBANEBCUOwB5708PefN4ZJ9N0p/iyzXf6nXU7hKWL0RHngLMBVpu4h
6169494b22b44403b7907d8b
nHws20WfI8ybKQdu9pmaxSpVtObKFNh4QOs3utDmNCWj5VZQQ1CrKjotchsCUyJdG
nSt20XAnV3ub01r4aErrm1o4zgpNSrXDrxt8vcgsRME+AzNVN2gkn0FNWgBxdXvUu
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyEFRPAsPPveGVFOB1pdduJpiN
25fe9a8589d9ff7e1c2450d24c847de0
L0FuZHJvaWQvZGF0YS9jb20uc25zc2RrLmFwaS9jYWNoZQ==
nT1ghyVYg4HlYeT8AxOv926Ex83tdEiiHhf9o43s05REzFmL+ew+lp3HZPDdTeWuH
nfG5IcuORAoGGfTGi2OZ2HBEYnbyS9qkcm7iIeHoPi6hiOl7ZAkEA2hpE+g9U85R/
cGVyc2lzdC5zeXMuaWRlbnRpZmllcmlkLnN1cHBvcnRlZA==
b0458c2b262949b8b0458c2b262949b8
amF2YS5uZXQuSHR0cFVSTENvbm5lY3Rpb24=

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
com/bytedance/bdturing/h.java, line(s) 42
com/cocos/lib/CocosHttpURLConnection.java, line(s) 300
com/ss/android/token/RSAUtils.java, line(s) 118,119,120,121,122,127,128,129,130,131
com/ss/union/game/sdk/c/e/d.java, line(s) 13
com/ss/union/game/sdk/c/f/t0/b.java, line(s) 7
com/ss/union/game/sdk/core/applog/b.java, line(s) 322,264,297,321
com/ss/union/game/sdk/core/base/cps/a.java, line(s) 21,26,29
com/ss/union/game/sdk/core/base/cps/b.java, line(s) 45,53,79,103,114,123,156,159
com/ss/union/game/sdk/core/base/cps/c.java, line(s) 62,66,68,71
com/ss/union/game/sdk/core/glide/Glide.java, line(s) 175,182,245,396
com/ss/union/game/sdk/core/glide/disklrucache/DiskLruCache.java, line(s) 410
com/ss/union/game/sdk/core/glide/gifdecoder/GifHeaderParser.java, line(s) 113,238
com/ss/union/game/sdk/core/glide/gifdecoder/StandardGifDecoder.java, line(s) 616,636,650
com/ss/union/game/sdk/core/glide/gifencoder/AnimatedGifEncoder.java, line(s) 164
com/ss/union/game/sdk/core/glide/load/data/AssetPathFetcher.java, line(s) 55
com/ss/union/game/sdk/core/glide/load/data/HttpUrlFetcher.java, line(s) 60,161,167,169,175,182
com/ss/union/game/sdk/core/glide/load/data/LocalUriFetcher.java, line(s) 56
com/ss/union/game/sdk/core/glide/load/data/mediastore/ThumbFetcher.java, line(s) 119
com/ss/union/game/sdk/core/glide/load/data/mediastore/c.java, line(s) 74
com/ss/union/game/sdk/core/glide/load/engine/DecodePath.java, line(s) 59
com/ss/union/game/sdk/core/glide/load/engine/Engine.java, line(s) 43
com/ss/union/game/sdk/core/glide/load/engine/bitmap_recycle/LruArrayPool.java, line(s) 111,173
com/ss/union/game/sdk/core/glide/load/engine/bitmap_recycle/LruBitmapPool.java, line(s) 102,111,136,146,154,192,228,235,258
com/ss/union/game/sdk/core/glide/load/engine/cache/DiskLruCacheWrapper.java, line(s) 67,79,89,95,122,132
com/ss/union/game/sdk/core/glide/load/engine/cache/MemorySizeCalculator.java, line(s) 160
com/ss/union/game/sdk/core/glide/load/engine/executor/GlideExecutor.java, line(s) 60
com/ss/union/game/sdk/core/glide/load/engine/executor/a.java, line(s) 50
com/ss/union/game/sdk/core/glide/load/engine/g.java, line(s) 274,479,649
com/ss/union/game/sdk/core/glide/load/engine/prefill/a.java, line(s) 99
com/ss/union/game/sdk/core/glide/load/engine/r.java, line(s) 43
com/ss/union/game/sdk/core/glide/load/model/ByteBufferEncoder.java, line(s) 21
com/ss/union/game/sdk/core/glide/load/model/ByteBufferFileLoader.java, line(s) 61
com/ss/union/game/sdk/core/glide/load/model/FileLoader.java, line(s) 148
com/ss/union/game/sdk/core/glide/load/model/ResourceLoader.java, line(s) 101
com/ss/union/game/sdk/core/glide/load/model/StreamEncoder.java, line(s) 42
com/ss/union/game/sdk/core/glide/load/resource/bitmap/BitmapEncoder.java, line(s) 74,89
com/ss/union/game/sdk/core/glide/load/resource/bitmap/DefaultImageHeaderParser.java, line(s) 205,223,225,230,239,242,247,258,265,279,287,357,367,377
com/ss/union/game/sdk/core/glide/load/resource/bitmap/Downsampler.java, line(s) 131,147,226,308,328,390
com/ss/union/game/sdk/core/glide/load/resource/bitmap/TransformationUtils.java, line(s) 160,163,224,231,236,292
com/ss/union/game/sdk/core/glide/load/resource/bitmap/VideoDecoder.java, line(s) 137
com/ss/union/game/sdk/core/glide/load/resource/bitmap/a.java, line(s) 52,58
com/ss/union/game/sdk/core/glide/load/resource/bitmap/b.java, line(s) 52
com/ss/union/game/sdk/core/glide/load/resource/gif/ByteBufferGifDecoder.java, line(s) 81,101,106,111
com/ss/union/game/sdk/core/glide/load/resource/gif/GifDrawableEncoder.java, line(s) 27
com/ss/union/game/sdk/core/glide/load/resource/gif/StreamGifDecoder.java, line(s) 46
com/ss/union/game/sdk/core/glide/manager/DefaultConnectivityMonitorFactory.java, line(s) 16
com/ss/union/game/sdk/core/glide/manager/RequestManagerFragment.java, line(s) 148
com/ss/union/game/sdk/core/glide/manager/RequestManagerRetriever.java, line(s) 275
com/ss/union/game/sdk/core/glide/manager/RequestTracker.java, line(s) 112
com/ss/union/game/sdk/core/glide/manager/SupportRequestManagerFragment.java, line(s) 137
com/ss/union/game/sdk/core/glide/manager/c.java, line(s) 38,61,78
com/ss/union/game/sdk/core/glide/module/ManifestParser.java, line(s) 53,58,61,67,72
com/ss/union/game/sdk/core/glide/request/SingleRequest.java, line(s) 67
com/ss/union/game/sdk/core/glide/request/target/CustomViewTarget.java, line(s) 77,108
com/ss/union/game/sdk/core/glide/request/target/ViewTarget.java, line(s) 76,107
com/ss/union/game/sdk/core/glide/tnc/TncHttpUrlFetcher.java, line(s) 61,186,195,198,207,218
com/ss/union/game/sdk/core/glide/util/ContentLengthInputStream.java, line(s) 42
com/ss/union/game/sdk/core/glide/util/pool/FactoryPools.java, line(s) 85
com/ss/union/game/sdk/core/luban/Luban.java, line(s) 351
com/wh/authsdk/s.java, line(s) 85,86
com/wh/authsdk/x.java, line(s) 67,83,47,57,31,99
com/wh/authsdk/z.java, line(s) 109,110,111,112
f/c/a/l.java, line(s) 177,251
f/c/a/r/a.java, line(s) 356
f/c/a/s/a.java, line(s) 463,493,503
f/c/a/s/d.java, line(s) 81,109
f/c/a/t/a.java, line(s) 151
f/c/a/u/h/a.java, line(s) 50
f/c/a/u/h/g.java, line(s) 54
f/c/a/u/h/h.java, line(s) 51
f/c/a/u/h/i.java, line(s) 111,209
f/c/a/u/i/a.java, line(s) 26,29
f/c/a/u/i/b.java, line(s) 84,104,109,121,132,184,190,202,222,227,239
f/c/a/u/i/d.java, line(s) 232,240,248,258
f/c/a/u/i/j.java, line(s) 47,97
f/c/a/u/i/n/f.java, line(s) 88,121,131,140,160,172,193,200,217
f/c/a/u/i/o/e.java, line(s) 59,85,98,109
f/c/a/u/i/o/k.java, line(s) 95
f/c/a/u/i/p/a.java, line(s) 99
f/c/a/u/i/q/a.java, line(s) 78
f/c/a/u/j/f.java, line(s) 46,56
f/c/a/u/j/n.java, line(s) 26
f/c/a/u/j/o.java, line(s) 29
f/c/a/u/k/f/c.java, line(s) 43
f/c/a/u/k/f/g.java, line(s) 105,131,138,145,228,232,237,245,269,273,277,302
f/c/a/u/k/f/m.java, line(s) 156,166,179,185,203,219,221,226,235,238,243
f/c/a/u/k/f/n.java, line(s) 36
f/c/a/u/k/f/p.java, line(s) 52
f/c/a/u/k/f/s.java, line(s) 53,60,69,104,160
f/c/a/u/k/j/j.java, line(s) 71,108
f/c/a/x/b.java, line(s) 189,261,292,338,353,359
f/c/a/x/j/n.java, line(s) 52
f/c/a/z/a.java, line(s) 42
f/c/a/z/b.java, line(s) 46
f/d/a/b0.java, line(s) 133,134
f/d/a/f2.java, line(s) 267
f/d/a/h.java, line(s) 67
f/d/a/h0.java, line(s) 548
f/d/a/h2.java, line(s) 128,131
f/d/a/k2.java, line(s) 373,444,704,240,460
f/d/a/m0.java, line(s) 220
f/d/a/p2.java, line(s) 37
f/d/a/z2.java, line(s) 52

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/cocos/lib/CocosHelper.java, line(s) 6,55
com/ss/union/game/sdk/c/f/h.java, line(s) 43,43,57,57
f/d/a/f1.java, line(s) 4,35

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/cocos/lib/CocosHttpURLConnection.java, line(s) 308,304,305,305
g/c/a/k0/c.java, line(s) 158,157,156,156

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
com/apm/insight/nativecrash/b.java, line(s) 533,533,533,533,533

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (wap.cmpassport.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.snssdk.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.momoyuyouxi.com) 通信。 

{'ip': '221.230.244.91', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.cmpassport.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (verify.snssdk.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tobapplog.ctobsnssdk.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.momoyuyouxi.com) 通信。 

{'ip': '8.217.209.204', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ichannel.snssdk.com) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (opencloud.wostore.cn) 通信。 

{'ip': '58.220.82.227', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tbm.snssdk.com) 通信。 

{'ip': '112.33.111.251', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (config.cmpassport.com) 通信。 

{'ip': '112.33.111.251', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (auth-api.heibaige.com) 通信。 

{'ip': '58.222.47.215', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (success.ctobsnssdk.com) 通信。 

{'ip': '61.147.168.157', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (rtapplog.snssdk.com) 通信。 

{'ip': '58.222.47.215', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cs-sandbox.dailygn.com) 通信。 

{'ip': '58.222.47.216', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。 

{'ip': '121.228.130.192', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e189.21cn.com) 通信。 

{'ip': '36.138.255.61', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log1.cmpassport.com) 通信。 

{'ip': '36.138.255.61', 'country_short': 'CN', 'country_long': '中国', 'region': '甘肃', 'city': '兰州', 'latitude': '36.056690', 'longitude': '103.792221'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobilegw.alipaydev.com) 通信。 

{'ip': '58.222.47.215', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (rtlog.snssdk.com) 通信。 

{'ip': '58.222.46.202', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cs.snssdk.com) 通信。 

{'ip': '58.220.82.214', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (unpkg.pstatp.com) 通信。 

{'ip': '58.222.46.204', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mon.snssdk.com) 通信。 

{'ip': '61.147.216.109', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (onekey1.cmpassport.com) 通信。 

{'ip': '112.33.110.15', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (u.ohayoo.cn) 通信。 

{'ip': '58.222.46.204', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (oogm.lanzoul.com) 通信。 

{'ip': '58.221.70.116', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log-api.oceanengine.com) 通信。 

{'ip': '42.123.76.87', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (applog.snssdk.com) 通信。 

{'ip': '42.123.76.87', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (open.e.189.cn) 通信。 

{'ip': '42.123.76.87', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ohayoo.cn) 通信。 

{'ip': '58.222.46.209', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (h5.m.taobao.com) 通信。 

{'ip': '121.228.130.198', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.momoyu.com) 通信。 

{'ip': '121.228.130.198', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf1-cdn-tos.douyinstatic.com) 通信。 

{'ip': '121.228.130.198', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。 

{'ip': '58.222.30.217', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e.189.cn) 通信。 

{'ip': '61.147.168.157', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (toblog.ctobsnssdk.com) 通信。 

{'ip': '61.147.168.157', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '镇江', 'latitude': '32.209366', 'longitude': '119.434372'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (toblog-alink.ctobsnssdk.com) 通信。 

{'ip': '58.222.46.208', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}

安全评分: ( 躺平躲猫猫 1.2)