安全分析报告: 云上营家 v1.0.2

安全分数


安全分数 49/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

4

用户/设备跟踪器


调研结果

高危 2
中危 45
信息 3
安全 1
关注 12

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/hand/baselibrary/utils/EncryptionUtils.java, line(s) 93,115

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity-Alias (com.hand.hippius.activity.icon5) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.hand.hippius.activity.icon4) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.hand.hippius.activity.icon3) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.hand.hippius.activity.icon2) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity-Alias (com.hand.hippius.activity.icon1) 未被保护。 

存在一个intent-filter。
发现 Activity-Alias与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。

中危 Activity (com.hand.mainlibrary.activity.HomeActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.hand.im.activity.ConversationActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.google.zxing.client.android.encode.EncodeActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.google.zxing.client.android.book.SearchBookContentsActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.google.zxing.client.android.share.ShareActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Service (com.jpush.PushService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.jpush.JPUSHMessageReceiver) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.inja.portal.pro.wxapi.WXEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.inja.portal.pro.wxapi.WXPayEntryActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Activity (com.sina.weibo.sdk.share.WbShareTransActivity) 未被保护。 

存在一个intent-filter。
发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。

中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.c2dm.permission.SEND [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.google.firebase.iid.FirebaseInstanceIdService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.INSTALL_PACKAGES [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (cn.android.service.JTransitActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.xiaomi.push.service.receivers.NetworkStatusReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (cn.jpush.android.service.PluginXiaomiPlatformsReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (cn.jpush.android.service.PluginMeizuPlatformsReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (cn.jpush.android.service.PluginOppoPushService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.heytap.msp.push.service.DataMessageCallbackService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (cn.jpush.android.service.PluginVivoMessageReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.vivo.push.sdk.service.CommandClientService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 高优先级的Intent (1000) 

[android:priority]
通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
cn/forward/androids/Image/ImageCache.java, line(s) 274
cn/forward/androids/utils/LogUtil.java, line(s) 101,102
cn/hzw/doodle/DoodleActivity.java, line(s) 136
cn/hzw/doodle/imagepicker/ImageSelectorView.java, line(s) 120
com/hand/album/PictureSelectorActivity.java, line(s) 253
com/hand/baselibrary/utils/DataCleanManager.java, line(s) 40,34
com/hand/baselibrary/utils/FileUtils.java, line(s) 163,129
com/hand/baselibrary/utils/GetImagePath.java, line(s) 20
com/hand/baselibrary/utils/Utils.java, line(s) 133
com/hand/camera/CordovaUri.java, line(s) 40
com/hand/camera/FileHelper.java, line(s) 41
com/hand/face/util/FaceUtil.java, line(s) 40,43
com/hand/face/util/FileUtil.java, line(s) 14
com/hand/im/HandIM.java, line(s) 121
com/hand/im/activity/GroupInfoActivity.java, line(s) 410,427
com/hand/im/activity/ImgVideoActivity.java, line(s) 201
com/hand/im/activity/PicturePagerActivity.java, line(s) 266
com/hand/im/adapter/IMFilePageAdapter.java, line(s) 32,54
com/hand/im/plugin/CameraPlugin.java, line(s) 46
com/hand/plugin/BusinessCardBridge.java, line(s) 120,134
com/hand/plugin/CameraBridge.java, line(s) 273,287,731
com/hand/plugin/FileBridge.java, line(s) 258
com/hand/webview/WebViewFragment.java, line(s) 388,1004
com/hand/yndt/contacts/activity/MineActivity.java, line(s) 235,252

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
com/hand/baselibrary/BuildConfig.java, line(s) 26,11,28,55,57,62,64,67,12,23,56,58,63,65,68,40
com/hand/baselibrary/config/ConfigKeys.java, line(s) 5,43,46
com/hand/businesscard/ApiPresenter.java, line(s) 12
com/hand/im/HandIM.java, line(s) 94,92
com/hand/im/activity/ConversationHistoryActivity.java, line(s) 29
com/hand/im/model/IMHistory.java, line(s) 69
com/hand/imagepicker/MultiImageChooserActivity.java, line(s) 46,47,49,52
com/hand/yndt/contacts/activity/ValueUpdateActivity.java, line(s) 25
com/hand/yndt/contacts/fragment/CheckCodeFragment.java, line(s) 26
com/hand/yndt/contacts/presenter/MineFragmentPresenter.java, line(s) 221
com/hand/yndt/login/password/PasswordResetAFragment.java, line(s) 21
com/hand/yndt/login/password/YndtFindPasswordFragment.java, line(s) 22,23
com/hand/yndt/login/password/YndtPasswordResetFragment.java, line(s) 20
com/hand/yndt/login/register/PasswordSetAFragment.java, line(s) 22
com/xiaomi/MIPush.java, line(s) 18

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
com/hand/imagepicker/MultiImageChooserActivity.java, line(s) 512

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
com/hand/baselibrary/greendao/gen/ContactDao.java, line(s) 4,36
com/hand/baselibrary/greendao/gen/EmployeeDao.java, line(s) 4,36
com/hand/baselibrary/greendao/gen/OftenContactDao.java, line(s) 4,42
com/hand/baselibrary/greendao/gen/TAdsForbiddenDao.java, line(s) 4,34
com/hand/baselibrary/greendao/gen/TAdsInfoDao.java, line(s) 4,46
com/hand/baselibrary/greendao/gen/TApplicationDao.java, line(s) 4,36
com/hand/baselibrary/greendao/gen/TConversationInfoDao.java, line(s) 4,46
com/hand/baselibrary/greendao/gen/TDownloadFileDao.java, line(s) 4,34
com/hand/baselibrary/greendao/gen/TMessageDao.java, line(s) 4,53
com/hand/baselibrary/greendao/gen/TMessageGroupDao.java, line(s) 4,55
org/greenrobot/greendao/AbstractDao.java, line(s) 6,7,116
org/greenrobot/greendao/DbUtils.java, line(s) 6,15
org/greenrobot/greendao/database/StandardDatabase.java, line(s) 5,15

中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 

可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6

Files:
com/hand/baselibrary/activity/PdfViewerActivity.java, line(s) 66,65
com/hand/webview/WebViewFragment.java, line(s) 704,695,854

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/hand/baselibrary/utils/DeviceIDUtil.java, line(s) 21
com/hand/baselibrary/utils/Utils.java, line(s) 491
com/iflytek/sunflower/c/c.java, line(s) 17

中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 

不安全的Web视图实现。可能存在WebView任意代码执行漏洞
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5

Files:
com/hand/webview/WebViewFragment.java, line(s) 708,709,867,868,695,854

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/hand/yndt/login/VerifyCode.java, line(s) 15
org/greenrobot/greendao/test/DbTest.java, line(s) 7

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
com/jg/ids/i/i.java, line(s) 145

中危 应用程序包含隐私跟踪程序 

此应用程序有多个4隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI"
OPPO推送的=> "OPPO_APPKEY" : "OP-oppo的APPKEY"
OPPO推送的=> "OPPO_APPSECRET" : "OP-oppo的APPSECRET"
荣耀推送的=> "com.hihonor.push.app_id" : "honor的APPID"
小米推送的=> "XIAOMI_APPID" : "MI-小米的APPID"
极光推送的=> "JPUSH_CHANNEL" : "inja_dev"
vivo推送的=> "com.vivo.push.app_id" : "vivo的APPID"
魅族推送的=> "MEIZU_APPKEY" : "MZ-魅族的APPKEY"
魅族推送的=> "MEIZU_APPID" : "MZ-魅族的APPID"
极光推送的=> "JPUSH_APPKEY" : "700cba0f60b18a7148a63d22"
小米推送的=> "XIAOMI_APPKEY" : "MI-小米的APPKEY"
OPPO推送的=> "OPPO_APPID" : "OP-oppo的APPID"
vivo推送的=> "com.vivo.push.api_key" : "vivo的APPKEY"
百度地图的=> "com.baidu.lbsapi.API_KEY" : "cc4wVL1DrGzROARd3j1OleZYipo6b3jP"
"base_password" : "Password"
"base_search_key" : "Search"
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJL0JkqsUoK6kt3JyogsgqNp9VDGDp+t3ZAGMbVoMPdHNT2nfiIVh9ZMNHF7g2XiAa8O8AQWyh2PjMR0NiUSVQMCAwEAAQ==
700cba0f60b18a7148a63d22
39280363481451541647
2FsPONw4QOqEQkzYvoiuVATWxbyQmsCJ
5a0a6f10f29d985d00000204
9b5eeca4-ff35-4186-80af-b00bfc531461
7b494b48d739e8f0db98f1fbe080c254
2FDgvkGVlKtvyo6NX8HbSycCiDHWR2gaqJRI3JrAqT9lGxZAxTnmUE8MNnhRWfoNZJHX2
d09bf5c069b761f038d48e8b
-39280363481451541647

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
cn/bingoogolapple/qrcode/core/BGAQRCodeUtil.java, line(s) 44,50
cn/forward/androids/utils/LogUtil.java, line(s) 47,53,89,95,113,59,65,35,41,71,77,83
cn/forward/androids/utils/ViewUtil.java, line(s) 49,52,55,76,79,82
cn/forward/androids/utils/cache/DiskLruCache.java, line(s) 109
com/alipay/test/a.java, line(s) 12,13,19,20,26,27,33,34,40,41,47,48,54,55,61,62,68,69,75,76,82,83,89,90,96,97,100,101,104,105,108,109,112,113,116,117,120,121,124,125,128,129,132,133,136,137,140,141
com/hand/baselibrary/activity/ClipPictureActivity.java, line(s) 129,132,185,189,126,141,151,175,181,207
com/hand/baselibrary/calendar/DayPickerView.java, line(s) 70
com/hand/baselibrary/greendao/gen/DaoMaster.java, line(s) 81,96
com/hand/baselibrary/jsbridge/PayBridge.java, line(s) 91
com/hand/baselibrary/net/CustomLogInterceptor.java, line(s) 30
com/hand/baselibrary/net/download/RetrofitDownload2Client.java, line(s) 246
com/hand/baselibrary/utils/AlbumBitmapCacheHelper.java, line(s) 93
com/hand/baselibrary/widget/BadgeView.java, line(s) 168
com/hand/baselibrary/widget/MyNestedScrollView.java, line(s) 191,488,549,1123
com/hand/baselibrary/widget/datepicker/CustomDatePicker.java, line(s) 136,538
com/hand/baselibrary/widget/datepicker/DatePickerView.java, line(s) 176
com/hand/contact/ContactAccessor.java, line(s) 127,130,44
com/hand/contact/ContactAccessorSdk5.java, line(s) 523,535,545,555,565,575,593,607,632,233,264,282,321,334,336,349,362,375,494,496,616,619,642,651
com/hand/face/ui/FaceCompareActivity.java, line(s) 159,160,161,162,163,164,165,166,179,194,204,207,219,239,241
com/hand/face/view/CameraInterface.java, line(s) 87,127,128
com/hand/face/view/CameraSurfaceView.java, line(s) 43,52,97
com/hand/im/HIMExtensionManager.java, line(s) 35,48,54,62,39,58
com/hand/im/manager/AudioRecordManager.java, line(s) 236,545,560,204,415
com/hand/imagepicker/MultiImageChooserActivity.java, line(s) 220,256,314,334
com/hand/imagepicker/ShowImageActivity.java, line(s) 58,59
com/hand/loginbaselibrary/fragment/login/BaseLoginFragment.java, line(s) 592
com/hand/messages/activity/ChannelListActivity.java, line(s) 89,129
com/hand/messages/fragment/MessageFragment.java, line(s) 108,112
com/hand/plugin/FileBridge.java, line(s) 453,463,464,465,466,467,468,469,470,471,601,407,516,585,646,332,547
com/hand/plugin/VoiceToTextBridge.java, line(s) 51,54
com/hand/webview/WebViewFragment.java, line(s) 348,484,493,938
com/hand/yndt/contacts/presenter/MineFragmentPresenter.java, line(s) 221
com/iflytek/sunflower/c/g.java, line(s) 11,17,55,61,73,27,33,67,43,49
com/scwang/smartrefresh/layout/SmartRefreshLayout.java, line(s) 2014
com/scwang/smartrefresh/layout/internal/pathview/PathParser.java, line(s) 613,618
com/xiaomi/MIMessageReceiver.java, line(s) 165
com/xiaomi/MIPush.java, line(s) 40,45
me/yokeyword/fragmentation/TransactionDelegate.java, line(s) 284,461,262,276
me/yokeyword/fragmentation/debug/DebugStackDelegate.java, line(s) 129
me/yokeyword/fragmentation/exception/AfterSaveStateTransactionWarning.java, line(s) 8
org/greenrobot/greendao/AbstractDao.java, line(s) 278,673
org/greenrobot/greendao/DaoException.java, line(s) 28,29
org/greenrobot/greendao/DaoLog.java, line(s) 35,39,67,15,43,47,27,31,51,55,59,63
org/greenrobot/greendao/DbUtils.java, line(s) 88,30
org/greenrobot/greendao/async/AsyncOperationExecutor.java, line(s) 126
org/greenrobot/greendao/internal/LongHashMap.java, line(s) 131
org/greenrobot/greendao/query/QueryBuilder.java, line(s) 242,245
org/greenrobot/greendao/test/AbstractDaoTest.java, line(s) 54,56,46
org/greenrobot/greendao/test/AbstractDaoTestLongPk.java, line(s) 32,35
org/greenrobot/greendao/test/AbstractDaoTestSinglePk.java, line(s) 304
org/greenrobot/greendao/test/DbTest.java, line(s) 85

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
com/hand/messages/activity/MsgListActivity.java, line(s) 7,701
com/hand/plugin/Clipboard.java, line(s) 4,30

信息 此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密 

此应用程序使用SQL Cipher。SQLCipher为sqlite数据库文件提供256位AES加密


Files:
org/greenrobot/greendao/database/SqlCipherEncryptedHelper.java, line(s) 15,4,5

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
com/hand/baselibrary/net/RetrofitClient.java, line(s) 61,61
com/hand/baselibrary/net/RetrofitUploadClient.java, line(s) 32,32
com/hand/baselibrary/net/download/RetrofitDownload2Client.java, line(s) 98,98
com/hand/baselibrary/net/download/RetrofitDownloadClient.java, line(s) 82,82

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gateway.inja.com) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (newportalsit.ysyec.com) 通信。 

{'ip': '8.129.0.154', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yongyou-c7ca5f-8498.udesk.cn) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (data.openspeech.cn) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bi.inja.com) 通信。 

{'ip': '110.41.41.207', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '广州', 'latitude': '23.127361', 'longitude': '113.264572'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (yunnan.12388.gov.cn) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '云南', 'city': '昆明', 'latitude': '25.038891', 'longitude': '102.718330'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (aip.baidubce.com) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (gatewayapp.inja.com) 通信。 

{'ip': '47.112.244.225', 'country_short': 'CN', 'country_long': '中国', 'region': '广东', 'city': '深圳', 'latitude': '22.545673', 'longitude': '114.068108'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (iws.openspeech.cn) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (scs.openspeech.cn) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.pgyer.com) 通信。 

{'ip': '203.107.44.30', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (paygate-yf.meituan.com) 通信。 

{'ip': '103.37.152.89', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}

安全评分: ( 云上营家 1.0.2)