安全分析报告: File Manager + v3.4.4

安全分数


安全分数 40/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

3

用户/设备跟踪器


调研结果

高危 10
中危 34
信息 2
安全 1
关注 3

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 基本配置配置为信任用户安装的证书。 

Scope:
*

高危 不恰当的内容提供者权限 

[pathPrefix=/]
Content Provider 权限已设置为允许从设备上的任何其他应用程序访问。Content Provider可能包含有关应用程序的敏感信息,因此不应该被共享

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
ax/w3/k.java, line(s) 19

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
ax/m3/b.java, line(s) 209,202

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/d3/r0.java, line(s) 24
ax/kj/b.java, line(s) 1001,155,158,804,825
com/jcraft/jsch/jce/TripleDESCBC.java, line(s) 65
com/jcraft/jsch/jce/TripleDESCTR.java, line(s) 65

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
ax/r3/d.java, line(s) 16,12

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/d3/r0.java, line(s) 40

高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同 

默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode

Files:
p002/p003/iab.java, line(s) 90
p002/p003/iaw.java, line(s) 36

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/box/androidsdk/content/auth/OAuthWebView.java, line(s) 299,308,20,21

中危 基本配置配置为信任系统证书。 

Scope:
*

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.alphainventor.filemanager.activity.ArchiveActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.texteditor.TextEditorActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.alphainventor.filemanager.viewer.VideoPlayerActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.alphainventor.filemanager.viewer.VideoPlayerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.LaunchActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.alphainventor.filemanager.activity.ShortcutActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.alphainventor.filemanager.activity.ShortcutActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.UsbAttachActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.PickerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.SaveToActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.SplitApkInstallerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.MSURLLauncherActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.alphainventor.filemanager.receiver.BootReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.alphainventor.filemanager.receiver.StorageCheckReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.dropbox.core.android.AuthActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.example.android.uamp.MusicService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (androidx.media.session.MediaButtonReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (com.box.androidsdk.content.auth.OAuthActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
ax/a6/d.java, line(s) 19
ax/bl/a.java, line(s) 3
ax/bl/b.java, line(s) 4
ax/bn/e.java, line(s) 27
ax/cl/a.java, line(s) 5
ax/db/c.java, line(s) 4
ax/dg/a.java, line(s) 12
ax/e3/u0.java, line(s) 49
ax/hb/z2.java, line(s) 19
ax/jk/r.java, line(s) 9
ax/p3/a.java, line(s) 14
ax/pg/d.java, line(s) 15
ax/q5/b.java, line(s) 25
ax/qg/d.java, line(s) 12
ax/s5/n.java, line(s) 17
ax/w3/a.java, line(s) 6
ax/w3/d.java, line(s) 8
ax/x3/x.java, line(s) 48
ax/x9/q.java, line(s) 7
com/alphainventor/filemanager/ads/a.java, line(s) 31
com/alphainventor/filemanager/file/v.java, line(s) 18
com/alphainventor/filemanager/viewer/VideoPlayerActivity.java, line(s) 76
j$/util/concurrent/ThreadLocalRandom.java, line(s) 15
p002/p003/up1.java, line(s) 29

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
ax/be/d.java, line(s) 80
ax/jk/r0.java, line(s) 137
ax/q4/i.java, line(s) 74
ax/t4/b.java, line(s) 35
ax/t4/n.java, line(s) 83
ax/t4/u.java, line(s) 71
ax/u5/a.java, line(s) 109
ax/u5/b.java, line(s) 196

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/ab/a7.java, line(s) 231
ax/gb/q1.java, line(s) 46
ax/jk/r.java, line(s) 141
ax/jk/t.java, line(s) 17
ax/kj/b.java, line(s) 272,893
ax/kk/c.java, line(s) 34
ax/x3/d.java, line(s) 23,89
com/jcraft/jsch/jce/MD5.java, line(s) 31

中危 IP地址泄露 

IP地址泄露


Files:
ax/d3/o.java, line(s) 145
ax/dh/d.java, line(s) 4
ax/dk/b.java, line(s) 87
ax/eo/e.java, line(s) 73,74,66,75,76,77,59
ax/hk/e.java, line(s) 50
ax/hk/g.java, line(s) 52,64
ax/hn/a.java, line(s) 6,7
ax/in/a.java, line(s) 73
ax/jn/a.java, line(s) 13,6,14,15,16,7,8,9,10,11,12,17
ax/kn/a.java, line(s) 246,270,262,209,210,211,212,213,214,331,330,328,329,307,308
ax/l3/c.java, line(s) 116
ax/qg/d.java, line(s) 16
ax/rj/a.java, line(s) 356
com/alphainventor/filemanager/service/b.java, line(s) 48
com/jcraft/jsch/ChannelDirectTCPIP.java, line(s) 11
com/jcraft/jsch/ChannelForwardedTCPIP.java, line(s) 106
com/jcraft/jsch/ChannelX11.java, line(s) 15
com/jcraft/jsch/PortWatcher.java, line(s) 27,103,103
com/jcraft/jsch/Session.java, line(s) 1265,148,149,1250,1260,1273

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/kj/b.java, line(s) 784
ax/se/b.java, line(s) 52
ax/x3/d.java, line(s) 28
com/box/androidsdk/content/utils/SdkUtils.java, line(s) 147
com/jcraft/jsch/jce/SHA1.java, line(s) 31
com/jcraft/jsch/jce/SignatureDSA.java, line(s) 61

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
ax/a8/m0.java, line(s) 5,6,85
ax/a8/t0.java, line(s) 4,5,125
ax/z1/a.java, line(s) 5,6,7,8,70
com/alphainventor/filemanager/bookmark/BookmarkProvider.java, line(s) 9,10,11,12,32

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
ax/e3/c0.java, line(s) 189,191,193,195,197
ax/e3/x0.java, line(s) 168,253,256
ax/hi/f.java, line(s) 17,33
ax/s2/e.java, line(s) 839,841,303,333,585,606,609
ax/s2/f.java, line(s) 510,541
ax/w2/c.java, line(s) 87
ax/y2/h0.java, line(s) 881,1228

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
ax/b1/a.java, line(s) 3169
ax/se/c.java, line(s) 78

中危 应用程序包含隐私跟踪程序 

此应用程序有多个3隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-2353536094017743~6846372328"
"boxsdk_Authenticating" : "Authenticating"
"boxsdk_alert_dialog_password" : "Password"
"boxsdk_alert_dialog_username" : "Username"
"com.google.firebase.crashlytics.mapping_file_id" : "be93aaad7dcf4d9e95bacf3672ebdf17"
"dialog_entry_password" : "Password"
"dialog_entry_username" : "Username"
"dropbox_key" : "db-u1wulwl292c1qq6"
"firebase_database_url" : "https://file-manager-plus-65d18.firebaseio.com"
"google_api_key" : "AIzaSyCiCOTraqwM9ayuKNy_VQ5mme52iTWC_zI"
"google_crash_reporting_api_key" : "AIzaSyCiCOTraqwM9ayuKNy_VQ5mme52iTWC_zI"
"boxsdk_Authenticating" : "Autenticando"
"dialog_entry_password" : "Senha"
"boxsdk_alert_dialog_password" : "Kennwort"
"boxsdk_alert_dialog_username" : "Benutzername"
"dialog_entry_password" : "Passwort"
"dialog_entry_username" : "Benutzername"
"boxsdk_alert_dialog_password" : "Parola"
"boxsdk_Authenticating" : "Autenticazione"
"boxsdk_alert_dialog_password" : "Password"
"dialog_entry_password" : "Password"
"boxsdk_Authenticating" : "Godkender"
"boxsdk_alert_dialog_password" : "Adgangskode"
"boxsdk_alert_dialog_username" : "Brugernavn"
"boxsdk_Authenticating" : "Godkjenner"
"boxsdk_alert_dialog_password" : "Passord"
"boxsdk_alert_dialog_username" : "Brukernavn"
"boxsdk_Authenticating" : "Varmennetaan"
"boxsdk_alert_dialog_password" : "Salasana"
"boxsdk_alert_dialog_password" : "Wachtwoord"
"boxsdk_alert_dialog_username" : "Gebruikersnaam"
"boxsdk_Authenticating" : "Uwierzytelnianie"
"boxsdk_Authenticating" : "Godkjenner"
"boxsdk_alert_dialog_password" : "Passord"
"boxsdk_alert_dialog_username" : "Brukernavn"
"boxsdk_Authenticating" : "Autenticando"
"boxsdk_alert_dialog_password" : "Senha"
"boxsdk_Authenticating" : "Autentiserar"
"boxsdk_Authenticating" : "Authenticating"
"boxsdk_alert_dialog_password" : "Password"
"boxsdk_alert_dialog_username" : "Username"
"boxsdk_Authenticating" : "Autenticando"
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
8a885d04-1ceb-11c9-9fe8-08002b104860
a473d63f-1acf-473f-bd2a-181957d163e0
12345778-1234-abcd-ef00-0123456789ab
8138e8a0fcf3a4e84a771d40fd305d7f4aa59306d7251de54d98af8fe95729a1f73d893fa424cd2edc8636a6c3285e022b0e3866a565ae8108eed8591cd4fe8d2ce86165a978d719ebf647f362d33fca29cd179fb42401cbaf3df0c614056f9c8f3cfd51e474afb6bc6974f78db8aba8e9e517fded658591ab7502bd41849462f
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
a335b8c433574f239913141bf225338a
bKxCJRf2+J6gvv7C0fr4tYEBkjGR5dmbwzKykxOB8Fo=
iLTZU0RjK5NEIvZJoUnCU8miPPOLs9kZ
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
4fc742e0-4a10-11cf-8273-00aa004ae673
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
12345778-1234-ABCD-EF00-0123456789AB
da39a3ee5e6b4b0d3255bfef95601890afd80709
dR5Vx2mOx4GqCE6I6Mx84jGeMEe5c38m7jWIajevG8I=
12345778-1234-ABCD-EF00-0123456789AC
470fa2b4ae81cd56ecbcda9735803434cec591fa
367abb81-9844-35f1-ad32-98f038001003
BHoKAJ0BAR2DLOvQkDvRcNLeeqgqHLCqKMR1JfyXapo=
B3EEABB8EE11C2BE770B684D95219ECB
C+CgTFGA66yt4jXPEIIrxijxRU684sjgn/WncvVJPbMrHBQ+f0eE2YJbl2lFh+z1GoVPWhNcQbF212Tdup4AeRX70kGPQJyuxeFb6WtJzqs=
4b324fc8-1670-01d3-1278-5a47bf6ee188
12345778-1234-abcd-ef00-0123456789ac

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
ax/ab/g7.java, line(s) 21,27,29,38,45,51,53,62,69,75,77,119,87,93,95,104
ax/b1/a.java, line(s) 323,1216,1387,1409,1535,1538,1547,1553,1582,1603,1617,1633,1666,1682,1690,1696,1742,1749,1760,1777,1782,1789,1837,1915,1981,2209,2220,2227,2308,2327,2414,2550,2564,2586,2593,2758,2804,2824,2837,2869,2895,3010,3061,3077,3081,3356,3411,3458,3627,3635,3670,3697,728,736,770,782,794,806,818,830,842,854,866,873,884,896,96,879,1139,1468,2274,2282,2733,3024,3028,3032,3347,3366,3374,3517,3527,3579
ax/b1/b.java, line(s) 40
ax/b5/d.java, line(s) 56,55,65,79,80
ax/b5/g.java, line(s) 170,177,256,266,278,292,308,318,321,324,327,330,344,349,169,176,255,265,277,291,307,317,320,323,326,329,343,348
ax/b5/i.java, line(s) 77,201,76,123,155,165,200,124,156,264
ax/b5/j.java, line(s) 41,42
ax/c2/b.java, line(s) 29
ax/c4/a.java, line(s) 55,62
ax/cb/a5.java, line(s) 37
ax/cb/e0.java, line(s) 22
ax/cb/f0.java, line(s) 25
ax/cb/g0.java, line(s) 22
ax/cb/h0.java, line(s) 27
ax/cb/k0.java, line(s) 219,89,106,128,217
ax/cb/q.java, line(s) 125
ax/cb/x.java, line(s) 60
ax/cb/z.java, line(s) 20
ax/d2/m0.java, line(s) 28,69
ax/e0/d.java, line(s) 78,228
ax/e0/i.java, line(s) 42
ax/e0/m0.java, line(s) 158,174,180,201,232,242,280,288,157,173,179,200,231,241,279,287,111,183,206,223
ax/e0/r0.java, line(s) 66
ax/e2/g.java, line(s) 949,952
ax/f5/a.java, line(s) 82,91,83,92
ax/f5/d.java, line(s) 22,23
ax/f5/i.java, line(s) 40,43
ax/f7/b.java, line(s) 70
ax/g1/a.java, line(s) 29
ax/g2/j.java, line(s) 21,23,32,34,43,45,54,56,65,67
ax/g4/a.java, line(s) 42,56,94,85
ax/g4/b.java, line(s) 55,177
ax/g4/c.java, line(s) 62,136,61,135,44
ax/gb/a.java, line(s) 18
ax/gb/a3.java, line(s) 20,22
ax/gb/d3.java, line(s) 64
ax/gb/f1.java, line(s) 44,48,53,192
ax/gb/r.java, line(s) 49,53,65,72
ax/gb/s0.java, line(s) 32,52
ax/gb/s3.java, line(s) 277
ax/gb/t.java, line(s) 45,49,58
ax/gb/t1.java, line(s) 43
ax/gb/x0.java, line(s) 32
ax/gb/y2.java, line(s) 32,42,46,57,59
ax/gc/a.java, line(s) 318
ax/h0/c.java, line(s) 58
ax/h0/d.java, line(s) 64
ax/h0/h.java, line(s) 313,319,325,130,139,253
ax/h5/k.java, line(s) 99,100
ax/h5/l.java, line(s) 175,176,187
ax/h5/o.java, line(s) 109,110
ax/ha/i.java, line(s) 172,179
ax/hb/b1.java, line(s) 19
ax/hb/d6.java, line(s) 93
ax/hb/l6.java, line(s) 58
ax/hb/m6.java, line(s) 54,72
ax/hb/n6.java, line(s) 17
ax/hb/s6.java, line(s) 15
ax/hb/t6.java, line(s) 18
ax/hb/u6.java, line(s) 15
ax/hb/v0.java, line(s) 26,35,64,78,25,34,63
ax/hb/w1.java, line(s) 56
ax/hb/z2.java, line(s) 69,55,66,75,88,94,186,197
ax/hb/z5.java, line(s) 42
ax/i0/d.java, line(s) 387,392
ax/i0/f.java, line(s) 75
ax/i0/g.java, line(s) 36,69
ax/i0/h.java, line(s) 48,107
ax/i0/m.java, line(s) 106
ax/i5/d.java, line(s) 38,45,56,61,37,44,49,55,60,50
ax/i7/a.java, line(s) 88,102,103,93
ax/ib/b0.java, line(s) 109,125,131,111,117,126,132
ax/j0/a.java, line(s) 147,156,198,208
ax/j0/e.java, line(s) 35,67
ax/j7/b.java, line(s) 27
ax/jc/d.java, line(s) 130,163
ax/k5/h.java, line(s) 202,287,297,301,338,160,187
ax/k7/a.java, line(s) 41,53,58,61,64
ax/k7/f.java, line(s) 25
ax/kc/b.java, line(s) 59
ax/l/s.java, line(s) 172
ax/l1/b.java, line(s) 42,57,65,89,184,203,317,337,374,380,399,49
ax/l3/c.java, line(s) 123,139
ax/l4/c.java, line(s) 13,24,30,37,47,54
ax/l7/a.java, line(s) 17,24,73,76
ax/l7/b.java, line(s) 27,31,131,182
ax/l7/d.java, line(s) 21
ax/l7/f.java, line(s) 79,217,263,76
ax/l7/j.java, line(s) 64
ax/lj/c.java, line(s) 16
ax/m1/d.java, line(s) 74
ax/m7/a.java, line(s) 21
ax/ma/g.java, line(s) 33
ax/mc/g.java, line(s) 393
ax/ml/a.java, line(s) 25
ax/n0/g.java, line(s) 25,29,33
ax/n0/s.java, line(s) 37
ax/n1/a.java, line(s) 153,158,165,169,185,195
ax/n4/c.java, line(s) 137,146,107,136,143,108
ax/n7/a.java, line(s) 14,17
ax/nb/a.java, line(s) 52,71,70,29,46
ax/nh/a.java, line(s) 44,36,52,54
ax/nm/e.java, line(s) 510
ax/nm/r0.java, line(s) 702
ax/o1/b.java, line(s) 60,33,606,71,601,610,651,670,676,698,740,782,806,981
ax/o4/a.java, line(s) 429
ax/o7/a.java, line(s) 56,44,52
ax/oa/a0.java, line(s) 43
ax/oa/e0.java, line(s) 64,82,86,112,116,46
ax/oa/h.java, line(s) 119,168,175
ax/oa/j0.java, line(s) 27,30,52
ax/oa/m.java, line(s) 36,100,49,87,119,131,141,147,150,152,156
ax/oa/n.java, line(s) 37,125
ax/oa/o0.java, line(s) 49,51,45
ax/oa/r.java, line(s) 24
ax/p0/b.java, line(s) 50,53
ax/p4/d.java, line(s) 72,100,71,99
ax/p4/e.java, line(s) 479,505,512,478,504,511,304
ax/p5/a.java, line(s) 68,69
ax/p9/n.java, line(s) 21,27,44,60
ax/pb/a.java, line(s) 75,79
ax/pd/d.java, line(s) 239,178,182,194
ax/pl/a.java, line(s) 18
ax/q/d.java, line(s) 121,154,235
ax/qa/c0.java, line(s) 38
ax/r/c.java, line(s) 269
ax/r0/b.java, line(s) 61
ax/r0/k0.java, line(s) 1276,1168,1275
ax/r0/m0.java, line(s) 40,51
ax/r0/o0.java, line(s) 44,53,67,87,101,116,130
ax/r0/u.java, line(s) 100
ax/r0/u0.java, line(s) 366,383,131,143,150,159,41,60,357
ax/r4/a.java, line(s) 49,48
ax/r4/h.java, line(s) 51,142,50,136,141,137
ax/r4/j.java, line(s) 50,49
ax/ra/a.java, line(s) 18
ax/ra/b0.java, line(s) 89,92,95,98,101,104,112,115,118,121,153,161
ax/ra/b1.java, line(s) 100
ax/ra/c.java, line(s) 176,194,391,395,399,405
ax/ra/c1.java, line(s) 25
ax/ra/d1.java, line(s) 25
ax/ra/e0.java, line(s) 27
ax/ra/f1.java, line(s) 37,55
ax/ra/l1.java, line(s) 52,57
ax/ra/p1.java, line(s) 49
ax/ra/y0.java, line(s) 29
ax/rh/e.java, line(s) 74,79,83,283,339,342
ax/rh/x.java, line(s) 76
ax/s/d0.java, line(s) 112
ax/s/e0.java, line(s) 65
ax/s/t.java, line(s) 319,536,205,210,217,279,393
ax/s/v.java, line(s) 163,197
ax/s0/f0.java, line(s) 317
ax/s1/c.java, line(s) 180,182
ax/s1/e.java, line(s) 184,164,171
ax/s1/h.java, line(s) 44
ax/s1/m.java, line(s) 85,109
ax/s1/s.java, line(s) 28
ax/s1/x.java, line(s) 63
ax/s4/c.java, line(s) 104,103
ax/s4/e.java, line(s) 60,59
ax/sb/h.java, line(s) 49
ax/se/b.java, line(s) 56,73
ax/t0/f.java, line(s) 138
ax/t4/f.java, line(s) 591,337,352,590,445
ax/t4/g.java, line(s) 46,47
ax/t4/i.java, line(s) 262,270,278,288,215
ax/t4/o.java, line(s) 155
ax/t4/w.java, line(s) 31,32
ax/t7/k.java, line(s) 31,60,67,70,83,86,89,92,95
ax/te/c.java, line(s) 92,95,117,125,126,146,148
ax/tl/i.java, line(s) 49,54,60
ax/u0/c.java, line(s) 49,58
ax/u0/h.java, line(s) 51,60
ax/u0/l.java, line(s) 41,40
ax/u4/i.java, line(s) 101,208,102,209
ax/u4/k.java, line(s) 108,149,160,172,71,107,117,138,148,159,171,192,199,77,118,193,200,139
ax/u5/f.java, line(s) 54
ax/ua/a.java, line(s) 42,47,34,62
ax/ud/g.java, line(s) 31,38,41,50,84
ax/ud/o.java, line(s) 116
ax/uh/a.java, line(s) 544
ax/v4/e.java, line(s) 43,53,67,73,44,68,56,74
ax/v4/i.java, line(s) 105,89
ax/v6/b.java, line(s) 25
ax/va/b.java, line(s) 53,64
ax/w4/a.java, line(s) 94,163,91,162
ax/w7/a.java, line(s) 15,22,29,14,21,28,42,43,49,50
ax/w9/a.java, line(s) 113,149
ax/w9/d.java, line(s) 23,41,50,60
ax/wa/h.java, line(s) 17
ax/wa/p.java, line(s) 19,16
ax/wd/f.java, line(s) 28,38,15,48,58,68
ax/x0/c.java, line(s) 121
ax/x3/n.java, line(s) 51
ax/y1/c.java, line(s) 40,28,32
ax/y2/q.java, line(s) 33
ax/y2/t.java, line(s) 137,176,199,222,254,277,314,358
ax/y4/c.java, line(s) 16,15
ax/y4/d.java, line(s) 43,42
ax/y4/f.java, line(s) 99,98
ax/y4/r.java, line(s) 49,52
ax/y4/s.java, line(s) 34,33
ax/ye/j.java, line(s) 60
ax/yo/j.java, line(s) 62
ax/za/d.java, line(s) 69,90
ax/zd/l.java, line(s) 158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176
com/alphainventor/filemanager/FileManagerApp.java, line(s) 28
com/alphainventor/filemanager/ads/AppOpenManager.java, line(s) 37,64
com/alphainventor/filemanager/shizuku/ShizukuUserService.java, line(s) 73
com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 773,336,340,522,526,592,243,1838,2039
com/github/mjdev/libaums/c.java, line(s) 91,113,66,119,41,46,56,71,103,50
p002/p003/up1.java, line(s) 378

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
ax/e3/u0.java, line(s) 7,636

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
ax/cb/k0.java, line(s) 73
ax/hb/m6.java, line(s) 32
ax/zd/g.java, line(s) 362,362,363

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (firebase-settings.crashlytics.com) 通信。 

{'ip': '180.163.151.162', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.150.161', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.150.161', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( File Manager + 3.4.4)