移动应用安全检测报告:
安全基线评分
安全基线评分 28/100
综合风险等级
风险等级评定
- A
- B
- C
- F
漏洞与安全项分布(%)
隐私风险
6
检测到的第三方跟踪器数量
检测结果分布
高危安全漏洞
23
中危安全漏洞
27
安全提示信息
4
已通过安全项
1
重点安全关注
3
高危安全漏洞 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危安全漏洞 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危安全漏洞 Activity (com.ltsdk.union.SplashActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.ltgame.hjlmzbz.PermissionActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.karumi.dexter.DexterActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.ltgame.hjlmzbz.NativeHandleActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.ltgame.hjlmzbz.NativeHandleActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.ltgame.hjlmzbz.NativeHandleActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.facebook.unity.FBUnityAppLinkActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.facebook.CustomTabActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.helpshift.activities.UnityDelegateActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.helpshift.campaigns.activities.NotificationActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危安全漏洞 Activity (com.helpshift.campaigns.activities.NotificationActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (27) 更新到 28 或更高版本以在平台级别修复此问题。
高危安全漏洞 Activity (com.blackapp.app.classes.DefaultProvider$MyActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (27) 更新到 29 或更高版本以在平台级别修复此问题。
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/fxlib/util/security/DES.java, line(s) 33,41
高危安全漏洞 启用了调试配置。生产版本不能是可调试的
启用了调试配置。生产版本不能是可调试的 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04c-Tampering-and-Reverse-Engineering.md#debugging-and-tracing Files: andhook/lib/BuildConfig.java, line(s) 3,6 com/blackapp/app/classes/BuildConfig.java, line(s) 3,6 com/onevcat/uniwebview/BuildConfig.java, line(s) 3,6
高危安全漏洞 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/onevcat/uniwebview/UniWebViewClient.java, line(s) 112,105
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/ltsdk/idtool/a/c.java, line(s) 76
高危安全漏洞 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/blackapp/app/classes/util/SimpleCrypt.java, line(s) 55
com/fxlib/util/security/AES.java, line(s) 14,29
高危安全漏洞 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: bolts/WebViewAppLinkResolver.java, line(s) 122,6,7
高危安全漏洞 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/ltsdk/idtool/b/a/a.java, line(s) 16,47
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危安全漏洞 Activity (com.ltgame.hjlmzbz.PermissionActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.karumi.dexter.DexterActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.ltgame.hjlmzbz.NativeHandleActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.ltgame.hjlmzbz.AndroidNotificator) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.adjust.sdk.AdjustReferrerReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.google.android.gms.analytics.CampaignTrackingReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.facebook.unity.FBUnityAppLinkActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.facebook.unity.FBUnityDeepLinkingActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Content Provider (com.facebook.FacebookContentProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危安全漏洞 Content Provider (com.blackapp.app.classes.DefaultProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Service (com.blackapp.app.service.RemoteService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Broadcast Receiver (com.blackapp.app.classes.DefaultProvider$DefaultReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 Activity (com.blackapp.app.classes.DefaultProvider$MyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/blackapp/app/classes/BundleObb.java, line(s) 106 com/helpshift/android/commons/downloader/runnable/ExternalStorageDownloadRunnable.java, line(s) 28,30 com/helpshift/android/commons/downloader/runnable/FilteredViewExternalStorageDownloadRunnable.java, line(s) 26 com/helpshift/common/platform/AndroidBackupDAO.java, line(s) 63,81,114,143 com/helpshift/support/SupportMigrator.java, line(s) 144 com/ltgame/utils/Kits.java, line(s) 91,81,85 com/ltsdk/idtool/c/a/c.java, line(s) 79,98 com/ltsdk/union/platform/LtsdkGoogle.java, line(s) 182,185 com/ltsdk/union/platform/LtsdkGoogleV5.java, line(s) 387,390 com/ltsdk/union/util/Tools.java, line(s) 183 com/onevcat/uniwebview/ProviderPathConverter.java, line(s) 25 com/onevcat/uniwebview/UniWebViewChromeClient.java, line(s) 272
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: bolts/MeasurementEvent.java, line(s) 19,20 com/fxlib/util/security/RSA.java, line(s) 23,24 com/helpshift/account/domainmodel/UserManagerDM.java, line(s) 43 com/helpshift/android/commons/downloader/runnable/BaseDownloadRunnable.java, line(s) 33 com/helpshift/android/commons/downloader/storage/DownloadInProgressCacheDbStorage.java, line(s) 7 com/helpshift/common/platform/AndroidCustomIssueFieldDAO.java, line(s) 8 com/helpshift/common/platform/AndroidMetadataDAO.java, line(s) 10,11 com/helpshift/configuration/domainmodel/SDKConfigurationDM.java, line(s) 30 com/helpshift/controllers/DataSyncCoordinatorImpl.java, line(s) 6 com/helpshift/conversation/activeconversation/LiveUpdateDM.java, line(s) 36 com/helpshift/conversation/domainmodel/ConversationController.java, line(s) 82,84 com/helpshift/db/key_value/tables/KeyValueTable.java, line(s) 7 com/helpshift/model/AppInfoModel.java, line(s) 11 com/helpshift/storage/HelpshiftUnityStorage.java, line(s) 15,20 com/helpshift/support/Support.java, line(s) 25,26,33 com/helpshift/support/SupportInternal.java, line(s) 56 com/helpshift/support/res/values/HSConsts.java, line(s) 4,5,6,7,8 com/helpshift/support/storage/LegacyUserDataMigrator.java, line(s) 27 com/ltgame/plugin/thirdparty/LtsdkPlugin.java, line(s) 154 com/ltsdk/union/LtsdkKey.java, line(s) 27 com/onevcat/uniwebview/UniWebViewFileChooserActivity.java, line(s) 9 com/unity/udp/sdk/internal/LocalPurchaseCache.java, line(s) 17 com/unity/udp/sdk/internal/Utils.java, line(s) 37,39,44
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: andhook/lib/xposed/XposedHelpers.java, line(s) 1087 com/fxlib/util/FJString.java, line(s) 51 com/fxlib/util/security/MD5.java, line(s) 9 com/ltsdk/union/util/SignTool.java, line(s) 62 com/unity/udp/sdk/common/Hash.java, line(s) 16
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/helpshift/account/dao/legacy/AndroidLegacyProfileDAO.java, line(s) 5,43 com/helpshift/common/conversation/ConversationDB.java, line(s) 7,1461 com/helpshift/db/base/BaseSqliteHelper.java, line(s) 4,5,148,155 com/helpshift/db/base/DropAndCreateDatabaseMigrator.java, line(s) 3,22,29 com/helpshift/db/conversation/migration/ConversationDbMigration_10_to_11.java, line(s) 3,12,13 com/helpshift/db/conversation/migration/ConversationDbMigration_6_to_7.java, line(s) 5,29,30,31,32,33,34,35 com/helpshift/db/conversation/migration/ConversationDbMigration_7_to_8.java, line(s) 4,37 com/helpshift/db/conversation/migration/ConversationDbMigration_8_to_9.java, line(s) 4,24,25,21 com/helpshift/db/conversation/migration/ConversationDbMigration_9_to_10.java, line(s) 3,20,21,22,23,24 com/helpshift/db/legacy_profile/migration/LegacyProfileDbMigration_1_to_2.java, line(s) 3,12,13 com/helpshift/db/legacy_profile/migration/LegacyProfileDbMigration_2_to_3.java, line(s) 3,11 com/helpshift/db/user/migration/UserDbMigration_1_to_2.java, line(s) 3,17 com/helpshift/logger/database/LogStorageSQLiteHelper.java, line(s) 4,5,21,34,40
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/fxlib/util/FJString.java, line(s) 9 com/helpshift/util/IntentProvider.java, line(s) 7 com/ltsdk/idtool/b/a/f.java, line(s) 5 com/ltsdk/idtool/d/c.java, line(s) 8 com/ltsdk/idtool/d/d.java, line(s) 3
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/blackapp/app/classes/Utils.java, line(s) 427 com/onevcat/uniwebview/UniWebViewChromeClient.java, line(s) 272,279
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/fxlib/util/security/SHA1.java, line(s) 10 com/helpshift/websockets/HandshakeReader.java, line(s) 158 com/ltsdk/idtool/b/a/a.java, line(s) 31 com/ltsdk/idtool/d/c.java, line(s) 103 com/unity/udp/sdk/common/Crypto.java, line(s) 19 com/unity/udp/sdk/internal/Utils.java, line(s) 184
中危安全漏洞 IP地址泄露
IP地址泄露 Files: com/blackapp/app/classes/HostsBlocker.java, line(s) 147
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/onevcat/uniwebview/UniWebView.java, line(s) 53,47
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: bolts/WebViewAppLinkResolver.java, line(s) 112,87
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "firebase_database_url" : "https://ghost-recon-1d139.firebaseio.com" "google_api_key" : "AIzaSyD-Qy3YQ1in72KY8B01wctSq89tJ43MlGs" "google_app_id" : "1:721853471615:android:fce37111e585a31d19584a" "password" : "Password" "google_crash_reporting_api_key" : "AIzaSyD-Qy3YQ1in72KY8B01wctSq89tJ43MlGs" nJBUhcameExFCkEhow4NEJCIST32oW4TEg3ogbg+NklAaSl1KFG2lNGlJimqU0/P3sGZ0nLNn9qx9 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc n2olwU2SXZdN1AtzmEfwtI+49oSQRspqj1yT9EUqAMoahx3rYvpW8MLONwFzglxT7WyQ97eOMmX0M njY7OJr0mLOpwiHpt4BgUi6Q3PCZi8h1SSjpR0vaM9LxEkHSMh69dMRHz7agGfUSIhqhzKG50dHiJ nJ2k5MBi65DXhQ6iwE5b0BHBP6FLXhB3AUWa2u5ImSNKdNMFPcp2Z7YYKaoCkmcDa0CWuCVuBu8zs noCasBeYxdhEKpQwBfJ50pb7yY2abgNmki7C4F0QoQ4DC2slIhFm4VchWLJb0nGeaa3F9QicidEUf nEWYD347Bz/VmtmYM96cSWoCWRCLMJVsE38naNXQ+k30gdExyI+kVj3Z1fpu0Jssdnp1GWxEkHSTp 9b8f518b086098de3d77736f9458a3d2f6f95a37 nCXBIWXMAAC4jAAAuIwF4pT92AAAHk0lEQVR42u2dW6wdUxjHf98pirqURElc6tIihKZOL0rqLiEl nYfAXeebVnyGCJC3JuHeGh1/vFx2nMjvh++m8iTvax9jMPgHOBv5OMXlE0tICyhR86SYXchted46h nsw0NDQ0NDQ0FUesnYpIOBE4BTsKt2ewLTEyYDCfK0MfeUYzYO8ROjmQsca3o2lrYFJm2AXuAL81s n+AxcP7sT90e4wsx2lRLoVkh6KOeOs1Z8IekeSce3yWOWpL9T0tglaWGb+w/x8OmdyoJXQPCPkDTc efedc24fecde188aaa9161 nxtAB6Dkkzc+55W9DaF97Fkkv5BBgPHxbUjgkvZgS+F2SbgztX10o9cGJpAXA1cB03BOr94DlZvZT n6ILXhSq+P2Ae7qsIh4HV0REDDQ314F/QQmVQhaYmuwAAAABJRU5ErkJggg== 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 nbz2PpFXK5obQPvYskh5WPqaG9rXnkDRR0q6cAjxZdP59oQNQA84ADshpO6vozBsB4DAP2/2KzrwR Y29tLmFwcGxpc3RvLmFwcGNsb25lci5jbGFzc2VzLnNlY29uZGFyeQ== nd7qkHRn2vssMU5VdE3xYVka86jITBsDMNuBGM2mjDa9lhqhj7ifnqmsbvLfG5CH0PGDUkNXMvqV4 nlwr5ETjezBRsKULS6ZJWAU8xvoIPcBxwGQRaC5I0iNvycX7oSARkPgQQQNKjwHJgQugIBGYiVLwY nzHYAd4WORoWsA241sxkhgw8jJi6SHgPuC+lQifwMvAu8ZGavhnYmptVM+CLc4RUzgEm42eiehP2E n4EPbNtXMNgNzgO0pJjfLc54Q9QnnUoOaUIYAPh3VtjxGkQhzM+wXdSDCxzgR/iipbLkIXQNuy2sY nbmhoaGhoaMig8M5S0hTgENxxYMk8kg9v+nAPg34ys79CB6GnkDt8Q5KGon97Er8nPxu1LWU8UsbB nAP7xsB0qOvNGAL+5kIrOvBGghKD60AgQmEYAONDD9oSiM98ndOlrwNdAPL4fjn7G/UKyedoX+C60 nnEP6ewBXAAflTa7oYJUhwJEetmtGlXCvCL+m3LNYblk7NznmCXnpivcDfARoGWQz+wH3PlZaTRjs n78C8qoIPewXwOcK9V1kHzIi2qlRGLEB3LDSVx3KgP3rEWSlxHzAZt8OgljPjEvkcWGJmr4dyoA/A 9ec39e7fb91817759ff2b7c51f880e9f df6b721c8b4d3b6eb44c861d4415007e5a35fc95 b933050343162abd3fcff7af87aaa852 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 n+ZGkpzrId6ak3RlpLm1xz5kePn0QOrZ5A3H9GIMf80wHeZ+l7OZo6Qh7HwFWh45t3iCsKEiATkXo XwYp8WL8bm6S4wu6yEYmLGy4RRRdJDIhxCBdk3CiNZTwGoj1bScVZEeVp9vBiiIsgwDtqZHP8QLoFM6o6MRYjW8QqyrZBI654mqoUk5SOLDyzordzOU5QhYguEJh54q3K1KqMEXpdEQJJjs1Urqjm2s4jgPfCZ4hMuIjAMRrEQluA7FeoqWMJOwghcLcPVleQ8PLzAcaKidybmwhvNAxIyKRpbZlcDjNCcUvsJYvyzEA9VUIaHkIAJ62lpA3EE3H c56fb7d591ba6704df047fd98f535372fea00211 0ae0d8ca28f07ad2d7637a2b517c7764 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 n5cgy1k4ASf3A5cAFuJXKKaF9KpBPgDvM7KP4g1oIIGkCMADcBJwb2p8KOMvMPoUaCCBpALgfmBba cc2751449a350f668590264ed76692694a80308a nZWtL6D4gxleEjTgRsiZreZ8nNC9qRwx6BC0WIWuyNpCzY/YJalfUgLEw4LPgFs0T+snumNuJ4BOD d6fc3a4a06adbde89223b
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: andhook/lib/AndHook.java, line(s) 56,104 andhook/lib/HookHelper.java, line(s) 34,67,87,139,150,163,184,205,226,261,266,79 andhook/lib/xposed/XposedBridge.java, line(s) 30,26 andhook/lib/xposed/XposedHelpers.java, line(s) 468,479,490,501,512,523,534,545,556,567,582,593,604,615,626,637,648,659,670,681,692,703,714,725,736,747,758,769,780,791,802,813,824,835,846,857,868,881,894,907,928,943 bitter/jnibridge/JNIBridge.java, line(s) 62 bolts/MeasurementEvent.java, line(s) 61,73 com/blackapp/app/classes/AbstractActivityContentProvider.java, line(s) 25,31 com/blackapp/app/classes/AppClonerNative.java, line(s) 16 com/blackapp/app/classes/ApplicationWrapper.java, line(s) 31,189,196,203,210,217,58,70,86,98,110,122,134,146,158,175 com/blackapp/app/classes/AutoPressButtons.java, line(s) 31,44,62,67,72,91,106,120,100,122,126,130,153 com/blackapp/app/classes/AutoRotateControls.java, line(s) 18,19,38,45,36,50 com/blackapp/app/classes/BackKeyHandler.java, line(s) 33,35,43,52,64,72,85,54,94 com/blackapp/app/classes/BluetoothControls.java, line(s) 18,19,37,40,45,52,58,61,43,64 com/blackapp/app/classes/BootReceiver.java, line(s) 14,24 com/blackapp/app/classes/BundleFilesDirectories.java, line(s) 18,30,38,46,61,41,66 com/blackapp/app/classes/BundleObb.java, line(s) 20,30,33,44,53,84,87 com/blackapp/app/classes/CalculatorActivity.java, line(s) 52,62,125,251 com/blackapp/app/classes/ClearCacheOnExitProvider.java, line(s) 16,43,47,21,39,52 com/blackapp/app/classes/ClearCacheOnExitService.java, line(s) 18,24 com/blackapp/app/classes/ClearCacheReceiver.java, line(s) 15 com/blackapp/app/classes/CloneSettings.java, line(s) 63,200,211,49,72,77,208 com/blackapp/app/classes/Configuration.java, line(s) 22,44,63,67,70,77,87,97,36,58,81,91,101 com/blackapp/app/classes/ConfirmExit.java, line(s) 14 com/blackapp/app/classes/CrashHandler.java, line(s) 71,80,94,26,60,82,98 com/blackapp/app/classes/DefaultFontProvider.java, line(s) 32 com/blackapp/app/classes/DefaultProvider.java, line(s) 42,78,83,91,95,111,57,70,102,117,175,182 com/blackapp/app/classes/DisableCameras.java, line(s) 24,45,62,80,100,106,126,140,28,57,75,93,121,133 com/blackapp/app/classes/DisableClipboardAccess.java, line(s) 58,94,98,102,109,116,122,128,145,149,153,157,161,165,174,186,191,202,206,210,217,224,230,236,253,257,261,265,269,273,282,294,299,308,338,347,353,358,362,379,396,72,136,244,301,340,365,382,398 com/blackapp/app/classes/FacebookLoginBehavior.java, line(s) 14,34 com/blackapp/app/classes/FacebookMessengerProvider.java, line(s) 36,38 com/blackapp/app/classes/FakeCalculator.java, line(s) 14,22,29,32 com/blackapp/app/classes/GmailSupport.java, line(s) 35,38,50,100,113,125,130,149,167,183,185,195,197,213,220,227,40,104,108,135,143,160,222 com/blackapp/app/classes/HeadphonesEventReceiver.java, line(s) 12,24,31,18,44 com/blackapp/app/classes/HostsBlocker.java, line(s) 83,111,119,133,155,158,169,222,249,257,265,270,305,316,325,334,345,358,426,103,121,281,297,348,441 com/blackapp/app/classes/InterruptionFilterControls.java, line(s) 21,22,37,47,48,57,62,64 com/blackapp/app/classes/LaunchTileService.java, line(s) 16,21,28 com/blackapp/app/classes/LogcatViewer.java, line(s) 49,308,63,147 com/blackapp/app/classes/NotificationOptions.java, line(s) 142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,188,193,198,200,250,302,319,326,93,233,241,252,256,285,355 com/blackapp/app/classes/OnAppExitListener.java, line(s) 19,26 com/blackapp/app/classes/OpenLinksWith.java, line(s) 26,42,50 com/blackapp/app/classes/PasswordActivity.java, line(s) 61,86,96,101,69,90,156,162,177,188 com/blackapp/app/classes/PasswordProvider.java, line(s) 12,14,21,24 com/blackapp/app/classes/PenEventReceiver.java, line(s) 12,17,35 com/blackapp/app/classes/PersistentApp.java, line(s) 13,21 com/blackapp/app/classes/PersistentAppService.java, line(s) 18 com/blackapp/app/classes/PictureInPicture.java, line(s) 28,34,40,52,63,73,83,65,88 com/blackapp/app/classes/PowerEventReceiver.java, line(s) 12,16,19,23,27,30,40 com/blackapp/app/classes/PreferenceEditor.java, line(s) 24,26,29,39,56,64 com/blackapp/app/classes/PressBackAgainToExit.java, line(s) 17,32,54 com/blackapp/app/classes/SecretDialerCodeReceiver.java, line(s) 15,25 com/blackapp/app/classes/SetBrightnessOnStart.java, line(s) 22,23,38,46,88,58,67,82,98,104 com/blackapp/app/classes/ShowOnLockScreen.java, line(s) 14,25 com/blackapp/app/classes/Signatures.java, line(s) 36,55,58,94,98,109,113,145,82,88,140,149,152,169,179,202,215 com/blackapp/app/classes/StartExitAppEventReceiver.java, line(s) 19,39,48,61,34,56,66 com/blackapp/app/classes/ToastFilter.java, line(s) 25,29,55,61,89,81,91 com/blackapp/app/classes/TrustAllCertificatesProvider.java, line(s) 37,39 com/blackapp/app/classes/Utils.java, line(s) 68,75,87,90,519,105,109,124,164,174,184,195,216,226,240,322,441,482,524,537,574,609 com/blackapp/app/classes/WhatsAppSupport.java, line(s) 30,59,72,45,62,66,85 com/blackapp/app/classes/WifiControls.java, line(s) 18,19,37,40,45,52,58,61,43,64 com/blackapp/app/classes/freeform/FreeFormWindow.java, line(s) 35,39,44,59 com/blackapp/app/classes/freeform/FreeFormWindowActivity.java, line(s) 37,53,56,76,96,59,89 com/blackapp/app/classes/service/RemoteService.java, line(s) 20 com/blackapp/app/classes/util/IActivityManagerHook.java, line(s) 19 com/blackapp/app/classes/util/IPackageManagerHook.java, line(s) 20 com/fxlib/util/FADevice.java, line(s) 79 com/fxlib/util/FALog.java, line(s) 17,44,64,35,56,76,23,48,68,11,40,60,29,52,72 com/fxlib/util/FJHttp.java, line(s) 104,134,130,133 com/fxlib/util/FJPrint.java, line(s) 9,5 com/helpshift/activities/UnityDelegateActivity.java, line(s) 27 com/helpshift/android/commons/downloader/runnable/StorageDownloadRunnable.java, line(s) 142 com/helpshift/logger/Logger.java, line(s) 140,167,185,196,231,150 com/helpshift/logger/WorkerThread.java, line(s) 35 com/helpshift/logger/database/LogSQLiteStorage.java, line(s) 32 com/helpshift/logger/database/LogStorageSQLiteHelper.java, line(s) 24 com/helpshift/storage/HelpshiftUnityStorage.java, line(s) 81,158 com/helpshift/support/Log.java, line(s) 55,75,93,65,81,45,107 com/helpshift/support/activities/ParentActivity.java, line(s) 42 com/helpshift/util/ConfigParserUtil.java, line(s) 128 com/helpshift/util/HelpshiftContext.java, line(s) 71,77 com/ltgame/hjlmzbz/NativeHandleActivity.java, line(s) 52,55,64,72,165,59,78,93,100,107,114,121,128,135,144,151 com/ltgame/hjlmzbz/NetGameApp.java, line(s) 21,84,82,87,95,98,104,106,110,112,119,121 com/ltgame/hjlmzbz/PermissionActivity.java, line(s) 65,80,86,125 com/ltgame/permission/PermissionManager.java, line(s) 109 com/ltgame/permission/PermissionMgr.java, line(s) 48,76,81,100,106,142,144,148,153 com/ltgame/plugin/PluginMgr.java, line(s) 38 com/ltgame/plugin/PluginMsg.java, line(s) 58 com/ltgame/plugin/thirdparty/GoogleAuthPlugin.java, line(s) 34,37,72,83,91,100,113,121,131,53,97 com/ltgame/plugin/thirdparty/LtsdkPlugin.java, line(s) 23,86,91,96,101,106,111,120,125,130,135,140,154 com/ltgame/utils/DeviceInfo.java, line(s) 30,34,142 com/ltgame/utils/I18NMgr.java, line(s) 33,37,40,52,67 com/ltgame/utils/IniMgr.java, line(s) 55,61 com/ltgame/utils/Kits.java, line(s) 93,98,128 com/ltsdk/idtool/a/a.java, line(s) 35,58,64,89 com/ltsdk/idtool/a/b.java, line(s) 96,114,166,201,214,222,72,79,86,101,108,117,171,173,210 com/ltsdk/idtool/a/c.java, line(s) 26,41,73,20,48,67 com/ltsdk/idtool/b/a/e.java, line(s) 44,28,39,58,64 com/ltsdk/idtool/b/a/i.java, line(s) 12 com/ltsdk/union/LTSdkUtils.java, line(s) 41,42,65,76,78,83,87 com/ltsdk/union/Ltsdk.java, line(s) 26,37,51,58,69,74,93,102,110,118,126,128,131,135,143,151,159,167,175,183,191,195,203,211,219,227,236,241,249,65 com/ltsdk/union/LtsdkUnity.java, line(s) 171,179,187,39,56,71,80,88,96,104,112,120,128,136,144,152,160,167,195,203,211,219,227,236,241,249,254,259,264,269,274,281,287,289,294,299,311,313,318,323,328 com/ltsdk/union/SplashActivity.java, line(s) 91,98,109,105,65,75,77,79,81,83,85 com/ltsdk/union/biz/InitLogBiz.java, line(s) 59 com/ltsdk/union/platform/LtsdkAdapter.java, line(s) 106,229,256,315,320,326,341,375,510,113,298,558,629,631,635,640 com/ltsdk/union/platform/LtsdkDemo.java, line(s) 102,103,145,146 com/ltsdk/union/platform/LtsdkGoogle.java, line(s) 78 com/ltsdk/union/platform/LtsdkGoogleV5.java, line(s) 175 com/ltsdk/union/util/Tools.java, line(s) 36,47,79,90,193 com/onevcat/uniwebview/Logger.java, line(s) 51,48 com/onevcat/uniwebview/VideoEnabledWebView.java, line(s) 27 com/unity/udp/sdk/common/Logger.java, line(s) 23,14,28,18 java/io/ByteArrayOutputStrean.java, line(s) 13,17,18,35,20 org/fmod/FMODAudioDevice.java, line(s) 69 org/fmod/a.java, line(s) 77
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/blackapp/app/classes/DisableClipboardAccess.java, line(s) 9,70,359 com/helpshift/support/fragments/MainFragment.java, line(s) 5,129
安全提示信息 此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改
此应用侦听剪贴板更改。一些恶意软件也会监听剪贴板更改 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/blackapp/app/classes/DisableClipboardAccess.java, line(s) 45,117,117,123,123,132,225,225,231,231,240,9
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://ghost-recon-1d139.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/721853471615/namespaces/firebase:fetch?key=AIzaSyD-Qy3YQ1in72KY8B01wctSq89tJ43MlGs ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hydra.alibaba.com) 通信。
{'ip': '203.119.169.38', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (netuser.joymeng.com) 通信。
{'ip': '203.119.169.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
重点安全关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (hijoyusers.joymeng.com) 通信。
{'ip': '115.236.18.217', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}