安全分析报告:
安全分数
安全分数 16/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
48
中危
17
信息
3
安全
2
关注
18
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.cyjh.elfin.ui.activity.SplashActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (26) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.ElfinFreeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.ElfinFreeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeZbarActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeZbarActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.UnbindRegistrationCodeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.UnbindRegistrationCodeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.mobileanjian.screencap.TestActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.root.ui.activity.SelectApplicationListActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.root.ui.activity.SelectApplicationListActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.elfin.ad.activity.FullScreenTwoAdActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.elfin.ad.activity.FullScreenTwoAdActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.anythink.core.activity.AnyThinkGdprAuthActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.anythink.core.activity.AnyThinkGdprAuthActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$1) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$1) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$2) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$2) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$3) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$3) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$4) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$4) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$5) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$5) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$6) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$6) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$7) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$7) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$8) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$8) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.D$1) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$2) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$3) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$4) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$5) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$6) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$7) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$8) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/sun/mail/auth/Ntlm.java, line(s) 193 z2/n3.java, line(s) 23,30,37,50,77
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/iflytek/voiceads/bridge/l.java, line(s) 58,56 com/iflytek/voiceads/f/b.java, line(s) 61,59
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/haorui/sdk/core/loader/c.java, line(s) 29 com/goldcoast/sdk/c/a.java, line(s) 15,40 mobi/oneway/export/g/a.java, line(s) 36
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/octopus/ad/internal/utilities/SPUtils.java, line(s) 81
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/iflytek/voiceads/view/AdView.java, line(s) 109,16 com/octopus/ad/internal/view/AdWebView.java, line(s) 536,28,29,168,169 z2/i9.java, line(s) 30,6 z2/o00O00o0.java, line(s) 45,8,9
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/iflytek/collector/a/a/a.java, line(s) 24 com/iflytek/voiceads/utils/d.java, line(s) 53
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/lidroid/xutils/http/client/DefaultSSLSocketFactory.java, line(s) 50,13,14,15 com/lidroid/xutils/util/OtherUtils.java, line(s) 169,169,13,14,15,16,17
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Activity设置了TaskAffinity属性
(com.cyjh.mobileanjian.screencap.TestActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (com.cyjh.elfin.floatingwindowprocess.service.FloatingWindowService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.ime.input.InputKb) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INPUT_METHOD [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Content Provider (com.core.util.share.SharedPreferenceProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: cn/haorui/sdk/core/download/a.java, line(s) 13 cn/haorui/sdk/core/utils/DownloadWorker.java, line(s) 215 cn/haorui/sdk/core/utils/RequestUtil.java, line(s) 192,747 com/cyjh/elfin/ui/activity/ElfinFreeActivity.java, line(s) 320,503 com/cyjh/event/Injector.java, line(s) 213,310,409,466 com/cyjh/logcatdex/LogcatUtils.java, line(s) 81,139,159 com/cyjh/mobileanjian/ipc/uip/UipHelper.java, line(s) 48 com/cyjh/mq/service/IpcService.java, line(s) 209 com/iflytek/voiceads/download/c.java, line(s) 9 com/iflytek/voiceads/param/e.java, line(s) 364,393 com/iflytek/voiceads/utils/f.java, line(s) 73 com/iflytek/voiceads/utils/n.java, line(s) 11 com/lidroid/xutils/util/OtherUtils.java, line(s) 81 com/octopus/ad/utils/a/a.java, line(s) 291,292 com/octopus/ad/utils/b/d.java, line(s) 63,18,21,63,92 com/octopus/ad/utils/b/l.java, line(s) 99,102 mobi/oneway/export/g/h.java, line(s) 82 z2/ai$OooO0OO.java, line(s) 43 z2/bi.java, line(s) 95,119,182 z2/d9.java, line(s) 200 z2/dd.java, line(s) 176 z2/e4.java, line(s) 30 z2/gf.java, line(s) 365,889 z2/hd.java, line(s) 276,280 z2/hf.java, line(s) 18 z2/hu.java, line(s) 44 z2/k3.java, line(s) 41,45,111,147,155,187,323 z2/k5.java, line(s) 84,86 z2/kf.java, line(s) 46,64 z2/kt.java, line(s) 38,64 z2/l3.java, line(s) 229,268 z2/m90.java, line(s) 678 z2/me.java, line(s) 15 z2/n6.java, line(s) 126 z2/nd.java, line(s) 20 z2/o00O000.java, line(s) 441 z2/q3.java, line(s) 39,51 z2/q5.java, line(s) 89,101 z2/r5.java, line(s) 21 z2/s7.java, line(s) 92,151 z2/t3.java, line(s) 89,214 z2/u2.java, line(s) 112 z2/u3.java, line(s) 192 z2/ua.java, line(s) 179 z2/wa0.java, line(s) 21,23 z2/z3.java, line(s) 79,96
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: cn/haorui/sdk/activity/HRRewardVideoPlayerActivity.java, line(s) 65,66,50,54,55,56,57,58,59,60,61,62 cn/haorui/sdk/activity/HRWebviewActivity.java, line(s) 14,15,16 cn/haorui/sdk/core/loader/cache/a.java, line(s) 28 cn/haorui/sdk/core/utils/PackConfigUtil.java, line(s) 22 cn/haorui/sdk/core/utils/SecurityHelper.java, line(s) 10 com/cyjh/http/bean/NotifyMsgBean.java, line(s) 52 com/cyjh/http/bean/request/EditProjectNumberRequestInfo.java, line(s) 89 com/cyjh/http/bean/response/AppRelatedInfo.java, line(s) 51 com/cyjh/http/bean/response/ScriptStartRunInfo.java, line(s) 52 com/cyjh/http/bean/response/VersionUpdateInfo.java, line(s) 62 com/octopus/ad/internal/utilities/DeviceInfo.java, line(s) 14 net/grandcentrix/tray/core/SharedPreferencesImport.java, line(s) 64 net/grandcentrix/tray/provider/TrayContract.java, line(s) 30,31 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 17,18 z2/o0O000Oo.java, line(s) 84 z2/o0OO000.java, line(s) 40 z2/o0OO0oO0.java, line(s) 92 z2/o0OOo000.java, line(s) 76
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/lidroid/xutils/http/client/multipart/MultipartEntity.java, line(s) 11 com/octopus/ad/internal/nativead/c.java, line(s) 56 com/octopus/ad/internal/utilities/DeviceInfo.java, line(s) 11 com/octopus/ad/internal/view/AdViewImpl.java, line(s) 55 com/sun/mail/auth/Ntlm.java, line(s) 13 z2/bz.java, line(s) 11 z2/ez.java, line(s) 5 z2/hb.java, line(s) 12 z2/nw.java, line(s) 14 z2/o9.java, line(s) 14 z2/rg.java, line(s) 14
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/haorui/sdk/core/download/d.java, line(s) 106 cn/haorui/sdk/core/loader/b.java, line(s) 234 cn/haorui/sdk/core/loader/c.java, line(s) 87 cn/haorui/sdk/core/utils/ClickHandler.java, line(s) 137 cn/haorui/sdk/core/utils/DownloadInfo.java, line(s) 111 cn/haorui/sdk/core/utils/DownloadUtils.java, line(s) 328 com/cyjh/logcatdex/LogcatUtils.java, line(s) 182 com/goldcoast/sdk/domain/EntryPoint.java, line(s) 823 com/iflytek/voiceads/utils/d.java, line(s) 21 com/lidroid/xutils/cache/MD5FileNameGenerator.java, line(s) 23 com/octopus/ad/internal/b/n.java, line(s) 67 com/octopus/ad/internal/utilities/HashingFunctions.java, line(s) 29 com/octopus/ad/internal/utilities/StringUtil.java, line(s) 185,340 com/sun/mail/auth/Ntlm.java, line(s) 166 com/sun/mail/pop3/Protocol.java, line(s) 357 com/sun/mail/smtp/DigestMD5.java, line(s) 89 z2/a4.java, line(s) 13 z2/bi.java, line(s) 46 z2/nd.java, line(s) 87 z2/o00O000.java, line(s) 407 z2/t3.java, line(s) 252 z2/ub0.java, line(s) 38 z2/v7.java, line(s) 15 z2/y7.java, line(s) 38
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/iflytek/voiceads/utils/m.java, line(s) 20 com/sun/mail/pop3/TempFile.java, line(s) 11 z2/n70.java, line(s) 23,75
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: cn/haorui/sdk/core/oaid/impl/m.java, line(s) 45 cn/haorui/sdk/core/utils/RequestUtil.java, line(s) 812 com/octopus/ad/internal/utilities/HashingFunctions.java, line(s) 39 com/octopus/ad/utils/a/b/n.java, line(s) 31
中危 IP地址泄露
IP地址泄露 Files: cn/haorui/sdk/core/AdSdk.java, line(s) 73 cn/haorui/sdk/core/utils/PackConfigUtil.java, line(s) 121,122 cn/haorui/sdk/core/utils/RequestUtil.java, line(s) 571,572 cn/haorui/sdk/platform/gromore/HyInitConfig.java, line(s) 12 com/octopus/ad/Octopus.java, line(s) 30 com/octopus/ad/internal/b/f.java, line(s) 89,98,201 com/octopus/ad/internal/m.java, line(s) 121 com/octopus/ad/internal/utilities/StringUtil.java, line(s) 262,263 com/octopus/ad/internal/utilities/UserEnvInfoUtil.java, line(s) 82 mobi/oneway/export/a/a.java, line(s) 8,9 z2/l3.java, line(s) 145,149 z2/s7.java, line(s) 58,62 z2/u7.java, line(s) 138
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/iflytek/voiceads/download/c/b.java, line(s) 5,60 com/iflytek/voiceads/download/c/c.java, line(s) 4,5,16 com/lidroid/xutils/DbUtils.java, line(s) 5,442,451 com/octopus/ad/internal/b/b/a.java, line(s) 6,7,78 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 4,5,47,60,61 z2/m90.java, line(s) 6,749 z2/qb0.java, line(s) 4,175,176,232,233,236,237,251,252,92,143 z2/t5.java, line(s) 4,5,18 z2/ua0.java, line(s) 5,224 z2/za0.java, line(s) 4,69
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/iflytek/voiceads/view/AdView.java, line(s) 207,200 com/octopus/ad/internal/view/AdWebView.java, line(s) 414,413
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: cn/haorui/sdk/core/webview/TaskCenterWebActivity.java, line(s) 95,84 com/iflytek/voiceads/bridge/DSBridgeWebView.java, line(s) 211,203
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_APPKEY" : "579ad79de0f55a8b3c001633" 友盟统计的=> "UMENG_CHANNEL" : "BillApk" "anythink_myoffer_feedback_violation_of_laws" : "Illegal" "dyStrategy.privateAddress" : "privateAddress" nmOYRYZP042vWRcKZ6iQLdLYmyg6tIzjYVfH0f6YX8OLIU7fy0TA/c88rzwIDAQAB 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 5FF8BF855D9553F32AA0CD1DB70FEDC6 21462E427898ADCCC2171718D603B0DE 5e1f6df6cc024c80b7e8b86dc670c100 bb78faf648dd40bd96d709abe6bd650e 3CCD2FB15632CD8044CD37D46DE41E3C aHR0cDovL3Nka2NmZy5hZGludGwuY24vc2RrL3BrZ0NvbmZpZz92ZXJzaW9uPQ== daeeaed0d3850865bb902b6e07afd541 BA2159EDE8B5B1B06F70D35A9630B683 761D5F3C12409F07DCE571A8AA3C0480 F4F04588C1076DA9017964B229D657DA DFEE16B42C8B2890D8FF2860AF5562B1 A9DDDF2A4F7D94594EC2EA98407A410E1 2FABB9840C76199A1E170A7C19698595 5317f4377245bfb8efdc42c45d71bd43 aHR0cDovL2Fib3V0OmJsYW5r 94CCB814573108BFBD19D8E2BB45AEE0 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCt8H0BF3SquJmk6xIo2bTldgvtazLIeSbR4cle zyeyJkdXJhdGlvbiI6ODY0MDAsImRhdGEiOlt7InBrZyI6ImNvbS5iYWlkdS5zZWFyY2hib3giLCJzaWQiOiIzIn0seyJwa2ciOiJjb20uY3ViaWMuYXV0b2hvbWUiLCJzaWQiOiIyIn0seyJwa2ciOiJjb20uamluZ2RvbmcuYXBwLm1hbGwiLCJzaWQiOiIxIn0seyJwa2ciOiJjb20udGFvYmFvLnRhb2JhbyIsInNpZCI6IjQifSx7InBrZyI6ImNvbS5hdXRvbmF2aS5taW5pbWFwIiwic2lkIjoiNSJ9LHsicGtnIjoiY29tLmFsaWJhYmEuYW5kcm9pZC5yaW1ldCIsInNpZCI6IjYifSx7InBrZyI6ImNvbS5VQ01vYmlsZSIsInNpZCI6IjcifSx7InBrZyI6ImNvbS5lZy5hbmRyb2lkLkFsaXBheUdwaG9uZSIsInNpZCI6IjgifSx7InBrZyI6ImNvbS5zYW5rdWFpLm1laXR1YW4iLCJzaWQiOiI5In0seyJwa2ciOiJjb20uc2luYS53ZWlibyIsInNpZCI6IjEwIn0seyJwa2ciOiJjb20udGFvYmFvLmxpdGV0YW8iLCJzaWQiOiIxMSJ9LHsicGtnIjoiY29tLnRtYWxsLndpcmVsZXNzIiwic2lkIjoiMTIifSx7InBrZyI6ImNvbS50YW9iYW8ubGl2ZSIsInNpZCI6IjEzIn0seyJwa2ciOiJjb20uemhpaHUuYW5kcm9pZCIsInNpZCI6IjE0In0seyJwa2ciOiJjb20udGVuY2VudC5rYXJhb2tlIiwic2lkIjoiMTUifSx7InBrZyI6ImNvbS5xdWFyay5icm93c2VyIiwic2lkIjoiMTYifSx7InBrZyI6ImNvbS5zcy5hbmRyb2lkLnVnYy5hd2VtZSIsInNpZCI6IjE3In0seyJwa2ciOiJtZS5lbGUiLCJzaWQiOiIxOCJ9LHsicGtnIjoiY29tLlF1bmFyIiwic2lkIjoiMTkifSx7InBrZyI6ImNvbS54dW5tZW5nLnBpbmR1b2R1byIsInNpZCI6IjIwIn0seyJwa2ciOiJjb20uc21pbGUuZ2lmbWFrZXIiLCJzaWQiOiIyMSJ9LHsicGtnIjoiY29tLmt1YWlzaG91Lm5lYnVsYSIsInNpZCI6IjIyIn0seyJwa2ciOiJjb20uc2R1LmRpZGkucHNuZ2VyIiwic2lkIjoiMjMifSx7InBrZyI6ImNvbS5kaWRhcGluY2hlLmJvb2tpbmciLCJzaWQiOiIyNCJ9LHsicGtnIjoiYWlyLnR2LmRvdXl1LmFuZHJvaWQiLCJzaWQiOiIyNSJ9XSwidmVyc2lvbiI6IjE2ODYwNDE3MDMyMTIifQ== 410D8AC18806EDFE511A00EFD3329F20 9312C6DA2448C84DB3C4FE8F66E2B394 d6c9aaeed6c9abd9c8cffed0cef3d8c9cfaadffdcfdcd0d0ccf1dccfc8c9d8d6c8ccf1eed6c9aaeed6cbead4c9cff6decddcdcd0cbf1dcd8c9aad0f4cfcfd7e8c9c2d0cbf9aae2dec9aac3aafff3a3edf8dff2fbc0ccc8f0ffd2fef6f8ccd4abd1a8f6fbfbdfd0c2cbf4f5aefbaaf2cacce0d8ccfbdfc8ebfecdeec3d4ccc0dcd9f6c0cdfef7fef6ccf7f6e2ffc2c0d9d7c2d3affff7afaafbddeeddcff0f6cdfedff5e8c8f1f6d2cff1f6ebcccfdcf4cff1d0f7c3f1afe3ccc2d8a9cbcef1aeccf1fed5c0ccfed6d1e3a2aacdf4fef0d4a8e2dcd5cda2d1d7cdcccbcedfafa8cdf4ccf2ceddfeaad5c2fef6d6abc0c8c0f0dccbd1e0dcf1d4cedcd7c8f1d0cbd7d2d4d8d5dcd0aacfddfef6c3aaccccc9aaafe8fbc2f2dcfee3a3d8c0f4cccacfced4cdcfcff6dfcbccdcd8cbfdead8f8aafed8cbcecce3c0f4dfabfef1d0efcdd2d0d9c9c2eaf1c0f6ccdefedfd0eff9ccd4e2c8a8cba9c0a8cfe8fbcdd0f0c9dda3dfc9f4d8dccef0f2fbc9ccfed2cea8feedcdd2f2e0d4cdf1a8cddfccd8d5c2f2c9d9f4d0d6f9f7eef5f9aaabedd7aaf2d4c8f1f6a9cbf1c0f7c9aad0f5fec2ccf4f9f3eedcc0e0c0edcfa8a3d9c3aaafdfccf1c0f3d4ddc3e8c3a8d4ebccabc8d7d5dfa3eff8aaf1abcff7ccc3c3cccfafd7ceccf7c3abdfd1fbc2fdaec8e3e9afd6a9d0eed4dffedccca9d4dfc8e0c0e8c9dcf5e3cedfa3ebcddedcddd4dfd4efc9cfdfecced9e9aac8f4d8d4fbdffeead6aad3aec9cfccdecfccdcdfd4cdccf2cededfedd4abeaaff8a8ccd4fecbeaf2ffcdf2dcd7f1ccaecbcda3eacecff6ccd4aafeaac8f4dbedc0f1f6eccbabdcdcc9c9a3efd7f1d0c8ccf1d0e8d4ddccddc9f0d8d3cbcdccd8c3f0ccf7cdcff6ebc8cfd0d4cccff5e3c3cde2cafbf6ead2d7f0f6e3d9f7c3abc0aaeef0c9f7eacdcbcdeedccbc2feaefef1d3abd6aac3a9c0c2f1abc8e3eecbd7d2ccd2cfaac0d8c3f4f5edc0ccdcaad5d2d4d0c3ccdfaac8dedfafcef1eed8d4f0dfabc8c9a3c0fbd2dceac0dddcd8c3c2d7d1d7cfeec8c0c2f9e8c9ddd0f7ccddf6acc8abd8cffeabd0f6d4e0f2f7d7cdfeecd7aad4d4fbf6d4e2cff7eef4cfcfead9cbcfeee3f8f1d4c9fea8ccaccfded7a8f9ccdcf1c8dda3c3c9aaf6caf9f6d4d4cdddead5d7fdead0f8cff2c8d6aad0d0d4dfabd1f9cfdca8fbdcd7e2fba8feaeccf1eac2d4f0dfaec8f4f1aefbf1d4e2cfcdc0aafecdd4cacfdfdccaffcdccebd4e0d0f4c0f7f2d0d4cfabf4d5cddcf0ffdfa2aac8cfd4c8c8abfec2d9f1ededfba8fed3d5dcf6d4cce0d0d3cedffecdcff0d0cff9aac0f0f8ddeec8c8f6d0ccf8a8f1aafbddabd2d4f7afedd6e0cce8d5dfd0dfd1aac0cdc9e0f6f7d5cffef0c9cfd0acc0e0f9abf9c2eaeefee0c0a8c0cfcfd1f8ccd0d0c0a8e2d9c8aaa3def8aad0d4cfdedccfc0cef2c0c8cfd4c8cfcfd4aec9f7c8f6c0ccd0dff8e0c8c3cddcfde0f8dec8d2ccdfcccaf9f4f6cacfa9c8f2c0f0d8c0f8a9fed7f9ccccddf9f1aff3d5dcccddd5dbeae3cea9eacecef0f9aed7c9eecbfbdcd0c0cbcfa3f6cecdabd8f9f3a3decbf1eecbd4abc8f2d7cdaae0d5cedccdcef6dcc2c9dffed6c9f7d7aacddbf5eed6c9aaeed6cfccd5c8d9d8c9cfaadffdcfdcd0d0ccf1dccfc8c9d8d6c8ccf1eed6c9aaeed6cbf5a7 28d147ed3e96a3ba8ac90703e4d66de2 579ad79de0f55a8b3c001633 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 79c5beb4fa44a273013b5196ffd1f13a d6c9aaeed6c9abd9c8cffed0cef3d8cbcccfd0d7c9cfd7fdc9aaccc0d6c9aaeed6c9aad1cecff6d2c0f1abd8d7dffedecfa9dcd2cfaaf6f3d7aac8c8c8cfd0d8cfccccd8cbcec8d2cef1dcdfcbaad0eacfcfeed9c0abdcdfc8a9d7e0ccd2feeaffcdd4eccef1f9e0ccf6c0cad4dfeaf7d6abf2d7cbe0f2f4cfdbeaccfecff2dfcef4fef7c9c2d0afd6aaedaec8f1d0d2c8ccf6e9fecefde2f9dfa3f2ccf7c8aec0d2fef5cbf0f2e0cfd2c8caf9e0d8a8d7f4c0d6cdced7a9ffccdcf7cff0d7afd7a8f6e3cbf1eed8d5c2d4a8ccaaaaaed9f7abdef8aafdecd4abf5affef6dcdcfef4c0d2fba8fef2d4cceacbf9dfafddc9f7c8f4cbaad0d2c9f4dcedfeaaa3c8c8cfe2fbd7cfabf0cbf6d8f3c0ddf2ddd7f6f9edc8f4eac9d4def2eafecfeecacfded4cacea9cbd1feabc0f2cccffecfc3a9d0c0ffc2d4f0fbcfabaacbf6d8c8c9cfc8d8cfcfdcd9d9f3aaeed6c9aaeec8cfafdfd3dcd8cccbf1e2d0cbe3d8d6c8ccf1eed6c9aaeed6cbf5a7
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/haorui/sdk/adsail_ad/splash/SplashSkipView.java, line(s) 107,171 cn/haorui/sdk/adsail_ad/view/DownLoadDialogActivity.java, line(s) 77,109 cn/haorui/sdk/adsail_ad/view/scaleImage/SubsamplingScaleImageView.java, line(s) 787,351,355,531,535,603,253,934,939,950,959,1683,1891 cn/haorui/sdk/adsail_ad/view/scaleImage/decoder/SkiaPooledImageRegionDecoder.java, line(s) 131 cn/haorui/sdk/core/download/InstallManager$InstallReceiver.java, line(s) 29 cn/haorui/sdk/core/download/d.java, line(s) 120,189 cn/haorui/sdk/core/utils/AppStoreUtil.java, line(s) 71,79,81 cn/haorui/sdk/core/utils/ImageUtil.java, line(s) 26 cn/haorui/sdk/core/utils/LogUtil.java, line(s) 11,16,20,32,38,43 cn/haorui/sdk/core/view/gif/GifHeaderParser.java, line(s) 75,105,74,104 cn/haorui/sdk/core/view/gif/GifImageView.java, line(s) 190,206 cn/haorui/sdk/core/webview/TaskCenterWebActivity.java, line(s) 56,62,144 cn/haorui/sdk/platform/csjblend/HYCBCustomInterstitialAdapter.java, line(s) 24 cn/haorui/sdk/platform/csjblend/HYCBDrawAd.java, line(s) 35 cn/haorui/sdk/platform/gromore/HYGMCustomInterstitialAdapter.java, line(s) 21 cn/haorui/sdk/platform/gromore/HYGMDrawAd.java, line(s) 23 cn/haorui/sdk/platform/gromore/HYGMNativeAd.java, line(s) 27 cn/haorui/sdk/platform/hr/interstitial/HRHRAdNativeWrapper.java, line(s) 22 com/anythink/banner/api/ATBannerView.java, line(s) 607,623,628,776 com/anythink/interstitial/a/a.java, line(s) 71,218,279 com/anythink/interstitial/a/c.java, line(s) 112,129,133,137,162,204 com/anythink/interstitial/api/ATInterstitial.java, line(s) 197,208,225 com/cyjh/bootdex/DexMain.java, line(s) 24,22,39,41,43 com/cyjh/common/util/toast/KeyboardUtils.java, line(s) 88,144,98 com/cyjh/common/util/toast/ThreadUtils.java, line(s) 147,152,418,443,482,506,330,454 com/cyjh/elfin/tools/utils/ThreadUtils.java, line(s) 135,140,406,431,470,494,318,442 com/cyjh/elfin/ui/activity/ScriptLogActivity.java, line(s) 110,111,112 com/cyjh/elfin/ui/activity/SettingActivity.java, line(s) 297,298,299 com/cyjh/elfin/ui/activity/SplashActivity.java, line(s) 167,172,177,183,191,200,358,361,372 com/cyjh/elfin/ui/activity/SweepCodeZbarActivity.java, line(s) 120 com/cyjh/event/Injector.java, line(s) 333,396,439,573,612,654,1076,1105,1111,1296,1298,1085,1087,1093,1095,1097,1100,1116,1573 com/cyjh/event/accessibility/Cservice.java, line(s) 384 com/cyjh/feedback/lib/activity/ImageSelectActivity.java, line(s) 56 com/cyjh/file/FileDexMain.java, line(s) 20,18 com/cyjh/http/oss/MyOSSUtils.java, line(s) 120,125,126,127,128 com/cyjh/logcatdex/LogcatDexMain.java, line(s) 34,32,50,52,54 com/cyjh/mobileanjian/ipc/rpc/AndroidHelper.java, line(s) 187,198,215 com/cyjh/mobileanjian/ipc/stuff/AnalyseResultWrapper.java, line(s) 21 com/cyjh/mobileanjian/screencap/ForScreenShotActivity.java, line(s) 19 com/cyjh/mobileanjian/screencap/ScreenShoterV3.java, line(s) 128,133 com/cyjh/mq/service/IpcService.java, line(s) 264 com/didi/virtualapk/PluginManager.java, line(s) 86,197,221,237,250,81,226,239,253 com/didi/virtualapk/delegate/ActivityManagerProxy.java, line(s) 131,87,102 com/didi/virtualapk/delegate/IContentProviderProxy.java, line(s) 77 com/didi/virtualapk/delegate/RemoteContentProvider.java, line(s) 108,143,49,65 com/didi/virtualapk/delegate/RemoteService.java, line(s) 29 com/didi/virtualapk/internal/ComponentsHandler.java, line(s) 44 com/didi/virtualapk/internal/ResourcesManager.java, line(s) 196,243 com/didi/virtualapk/internal/StubActivityInfo.java, line(s) 33 com/didi/virtualapk/internal/VAInstrumentation.java, line(s) 108,145,168,173,183,112,137 com/didi/virtualapk/internal/utils/PluginUtil.java, line(s) 48,61,69,72,93,110,115,119,122,135,199 com/didi/virtualapk/utils/RunUtil.java, line(s) 66,94 com/didi/virtualapk/utils/ZipVerifyUtil.java, line(s) 95,105 com/goldcoast/sdk/c/g.java, line(s) 30 com/goldcoast/sdk/domain/EntryPoint.java, line(s) 414,754 com/iflytek/voiceads/config/SDKLogger.java, line(s) 10,16,22,28 com/iflytek/voiceads/utils/g.java, line(s) 10,20 com/ime/input/InputKb.java, line(s) 18,32 com/lidroid/xutils/util/LogUtils.java, line(s) 56,68,80,92,113,125,137,149,161,173,185,197,209,221 com/octopus/ad/AdActivity.java, line(s) 138 com/octopus/ad/BannerAdView.java, line(s) 85 com/octopus/ad/DownloadService.java, line(s) 253,279,295 com/octopus/ad/b/b.java, line(s) 1069 com/octopus/ad/internal/a/a.java, line(s) 132,47,57,143,149 com/octopus/ad/internal/a/b.java, line(s) 78,53 com/octopus/ad/internal/a/c.java, line(s) 25 com/octopus/ad/internal/b/a/e.java, line(s) 40,38 com/octopus/ad/internal/b/f.java, line(s) 124,136,158,169,110,115,99,228 com/octopus/ad/internal/b/h.java, line(s) 58 com/octopus/ad/internal/b/j.java, line(s) 48,77,80,91,45,82 com/octopus/ad/internal/b/l.java, line(s) 156,183,185 com/octopus/ad/internal/b/n.java, line(s) 38 com/octopus/ad/internal/c.java, line(s) 99,162,173,174,181,79,190,195,199,210 com/octopus/ad/internal/d.java, line(s) 137,169 com/octopus/ad/internal/f.java, line(s) 80,102,130,134,81,89,104,126 com/octopus/ad/internal/k.java, line(s) 90 com/octopus/ad/internal/m.java, line(s) 121,137 com/octopus/ad/internal/n.java, line(s) 23,31,39,25 com/octopus/ad/internal/nativead/a.java, line(s) 183,188,193,222,88,101,217 com/octopus/ad/internal/nativead/b.java, line(s) 35,27,37,55 com/octopus/ad/internal/nativead/c.java, line(s) 223,116,572,569,667 com/octopus/ad/internal/network/ServerResponse.java, line(s) 163,255,376,501,666,826,924,1042,162,337,365,818,917 com/octopus/ad/internal/network/a.java, line(s) 172,204,224 com/octopus/ad/internal/o.java, line(s) 24 com/octopus/ad/internal/r.java, line(s) 32 com/octopus/ad/internal/utilities/DeviceInfo.java, line(s) 69 com/octopus/ad/internal/utilities/DeviceInfoUtil.java, line(s) 21 com/octopus/ad/internal/utilities/DownloadFactory.java, line(s) 206,159 com/octopus/ad/internal/utilities/ImageService.java, line(s) 98,111 com/octopus/ad/internal/utilities/UserEnvInfo.java, line(s) 23,58 com/octopus/ad/internal/utilities/WebviewUtil.java, line(s) 122,137,22,36 com/octopus/ad/internal/video/AdVideoView.java, line(s) 578,598,841,883,372,792,885,907,911,787,787,792,907,911 com/octopus/ad/internal/view/AdViewImpl.java, line(s) 1148,1202,1247,1256,1492,1505,1533,1546,1562,1576,244,248,303,870,948,1079,1278,1309,1560,1618,378,388,832 com/octopus/ad/internal/view/AdWebView.java, line(s) 450,552,557,341,588,373,187,205,882,148,159,301,356 com/octopus/ad/internal/view/BannerAdViewImpl.java, line(s) 610,633,636,639,642,651,653,715,728,733,738,756,773,868,879,934,948,971,474,838,576,900 com/octopus/ad/internal/view/InterstitialAdViewImpl.java, line(s) 176,184,187,195,219,257,290,343,363,105,379,171,366 com/octopus/ad/internal/view/a.java, line(s) 13,19 com/octopus/ad/internal/view/e.java, line(s) 153,217,301,319,464,554,484 com/octopus/ad/internal/view/g.java, line(s) 338,154,160,323 com/octopus/ad/topon/OctopusATBannerAdapter.java, line(s) 41,49,58,70,75,83,131,174 com/octopus/ad/topon/OctopusATInitManager.java, line(s) 117,120,126 com/octopus/ad/topon/OctopusATInterstitialAdapter.java, line(s) 33,41,49,61,73,111,152 com/octopus/ad/topon/OctopusATNativeAdapter.java, line(s) 38,53,111,148 com/octopus/ad/topon/OctopusATNativeExpressAd.java, line(s) 54,60,66,72 com/octopus/ad/topon/OctopusATNativeUnifiedAd.java, line(s) 74,80,86,92 com/octopus/ad/topon/OctopusATRewardVideoAdapter.java, line(s) 34,42,50,58,70,82,90,128,169 com/octopus/ad/topon/OctopusATSplashAdapter.java, line(s) 37,45,54,66,78,118,161 com/octopus/ad/utils/a/f.java, line(s) 13,21 com/octopus/ad/utils/b.java, line(s) 54 com/octopus/ad/utils/b/d.java, line(s) 100,100 com/sun/activation/registries/LogSupport.java, line(s) 28,35 com/sun/mail/imap/protocol/BODYSTRUCTURE.java, line(s) 59,69,76,80 com/sun/mail/imap/protocol/ENVELOPE.java, line(s) 31,50,54,57,61,65,69,73,77,82,86,110 junit/runner/Version.java, line(s) 12 junit/textui/TestRunner.java, line(s) 49,56,123 mobi/oneway/common/service/OwFrontService.java, line(s) 27 mobi/oneway/export/g/m.java, line(s) 62,67,106,86,56,76,102 net/grandcentrix/tray/core/AbstractTrayPreference.java, line(s) 21 net/grandcentrix/tray/core/Preferences.java, line(s) 42,45,48,56,68,114,122,143,152,161,170,179,188,200,117 net/grandcentrix/tray/core/SharedPreferencesImport.java, line(s) 49,59,45 net/grandcentrix/tray/core/TrayLog.java, line(s) 17,24,28,34,42,50,57,61 net/grandcentrix/tray/provider/ContentProviderStorage.java, line(s) 109,107 net/grandcentrix/tray/provider/TrayContentProvider.java, line(s) 41,92 net/grandcentrix/tray/provider/TrayContract.java, line(s) 56,61,67,73,68 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 66,68,77,85 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 165 razerdp/basepopup/BasePopupWindow.java, line(s) 450,1085 razerdp/util/log/PopupLog.java, line(s) 134,138,150,143,146 z2/Cif.java, line(s) 24,30,49 z2/O0OO00.java, line(s) 85,90,95,104,86,91,96,105 z2/a0.java, line(s) 340,341,352 z2/a10.java, line(s) 34 z2/ac.java, line(s) 50 z2/ai.java, line(s) 64 z2/b.java, line(s) 24,25 z2/b10.java, line(s) 42 z2/b4.java, line(s) 93,94 z2/b7.java, line(s) 32,49,66,83,100,118,174 z2/bc.java, line(s) 31 z2/c0.java, line(s) 109,110 z2/c7.java, line(s) 36,43,48,73 z2/ch.java, line(s) 71,82,83,173,237,137,141,145,149,153 z2/ck.java, line(s) 131,155 z2/d0.java, line(s) 161,162 z2/d10.java, line(s) 30 z2/d6.java, line(s) 267,268,269 z2/d7.java, line(s) 22,25,51 z2/d8.java, line(s) 20,27,34,41,48,55,13,66,73,80 z2/dd.java, line(s) 409,412,536 z2/di.java, line(s) 58 z2/du.java, line(s) 110,121 z2/e5.java, line(s) 30,24 z2/e7.java, line(s) 37,61,73,74,87,99,111,126 z2/ef.java, line(s) 114,333 z2/eu.java, line(s) 105,107 z2/f2.java, line(s) 29,30 z2/f5.java, line(s) 142,182,193,243 z2/f7.java, line(s) 47 z2/fu.java, line(s) 18,57,76,85,91,102 z2/g3.java, line(s) 61,64,142,146,152,154,158,161,270,433,442,487 z2/g7.java, line(s) 21,43,46 z2/gf.java, line(s) 146,168,172,396,967,709,793,944,987,1003 z2/h.java, line(s) 37,40 z2/h7.java, line(s) 55 z2/hv.java, line(s) 279 z2/i00.java, line(s) 40 z2/ig.java, line(s) 57 z2/j0.java, line(s) 45,52,63,68,44,51,56,62,67,57 z2/j00.java, line(s) 153,69,78,80,408 z2/j4.java, line(s) 13,26 z2/k3.java, line(s) 348,381 z2/k9$OooO00o.java, line(s) 36 z2/k9$OooO0O0.java, line(s) 19,25 z2/k9$OooOOO.java, line(s) 23,37 z2/k9.java, line(s) 89,321,322,361,435 z2/ke.java, line(s) 28 z2/kf.java, line(s) 39,74,80,96 z2/la.java, line(s) 171 z2/li.java, line(s) 54 z2/n1.java, line(s) 26 z2/nb.java, line(s) 52 z2/o000O00O.java, line(s) 444 z2/o00O000.java, line(s) 146,248,254,625 z2/o00O0O0O.java, line(s) 16,15 z2/o00O0OO.java, line(s) 228,237,172,139,171,227,234,140 z2/o00OOOO0.java, line(s) 557 z2/o0O00000.java, line(s) 563,592,599,562,591,598,711,720 z2/o0O00OO.java, line(s) 52,51 z2/o0O0O0Oo.java, line(s) 61,159,60,158,162,168,175,172,176 z2/o0O0OO0.java, line(s) 53,52 z2/o0O0o.java, line(s) 99,129,98,128 z2/o0O0o00O.java, line(s) 109,108 z2/o0OO0.java, line(s) 29,200 z2/o0OO00OO.java, line(s) 53,54 z2/o0OOO0o.java, line(s) 93,97,101,11,113,106,117,121 z2/o0oOo0O0.java, line(s) 86,85 z2/o9$OooO0O0.java, line(s) 19 z2/oO000O0.java, line(s) 122,169,123,170 z2/oO000O0O.java, line(s) 138,176,192,204,101,137,147,165,175,191,203,230,237,107,148,231,238,166 z2/oO000Oo.java, line(s) 59,65,93,103,116,128,60,94,66,106,117,129 z2/oO00OO0O.java, line(s) 163,147 z2/oO00OOOo.java, line(s) 92,89 z2/oO00OOo0.java, line(s) 44,43 z2/oO00Oo00.java, line(s) 95,94 z2/oO00o0.java, line(s) 45,44 z2/oO00o00O.java, line(s) 19,18 z2/oO0O0O00.java, line(s) 99,102 z2/oO0O0O0o.java, line(s) 38,37 z2/oO0Oo.java, line(s) 34,35 z2/oOO0O0.java, line(s) 206,213,279,289,301,314,332,348,358,367,380,385,205,212,278,288,300,313,331,341,346,350,356,360,379,384 z2/oOO0O0O.java, line(s) 47,53,48,54 z2/oOO0O0O0.java, line(s) 118,135,117,134,206,242,258,207,243,319 z2/oOO0Oo00.java, line(s) 45,46 z2/oOOO00Oo.java, line(s) 281,122,127,168,177,184,278,123,128,169,178,185,186,187,191 z2/oOOO0OO0.java, line(s) 131,128 z2/oOo00ooO.java, line(s) 127,126 z2/ob.java, line(s) 124 z2/p3.java, line(s) 20,54,69 z2/pb.java, line(s) 75,81,108 z2/pd0.java, line(s) 161 z2/pf.java, line(s) 183,228 z2/q7.java, line(s) 146,150,156,158,162,165,269,445,486,495 z2/qj.java, line(s) 29,39 z2/r4.java, line(s) 567,701,735 z2/r8.java, line(s) 94 z2/rb0.java, line(s) 12,18 z2/rd0.java, line(s) 24,39 z2/rg.java, line(s) 59,62,91 z2/sd0.java, line(s) 368 z2/sg.java, line(s) 69,128 z2/t1.java, line(s) 42,41 z2/t4.java, line(s) 425,456 z2/tb0.java, line(s) 97,103,49,72 z2/tc.java, line(s) 29,46,66,72 z2/u.java, line(s) 33,32,55,74,56,75 z2/ub.java, line(s) 18,24,33 z2/uh.java, line(s) 497,499 z2/v.java, line(s) 18,17 z2/w4.java, line(s) 73 z2/wb.java, line(s) 21,27 z2/x6.java, line(s) 66,83,84,86,87,99,106,46 z2/xb.java, line(s) 35,41 z2/y4.java, line(s) 124,126,137 z2/y6.java, line(s) 102,104 z2/y90.java, line(s) 68 z2/yb.java, line(s) 52,57,69 z2/zb.java, line(s) 47 z2/zg.java, line(s) 126,133,137,138
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/cyjh/event/accessibility/Cservice.java, line(s) 6,311 com/cyjh/mobileanjian/ipc/rpc/AndroidHelper.java, line(s) 8,240
信息 邮件服务器
邮件服务器 Files: z2/q2.java, line(s) 35
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/iflytek/voiceads/param/e.java, line(s) 51,51,51,51,51,51 com/octopus/ad/utils/b/l.java, line(s) 31,31,31,31 z2/l3.java, line(s) 179,179,182,182 z2/p3.java, line(s) 34 z2/ya.java, line(s) 74,75
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/b/a/ai.java, line(s) 116,105,115,114,114 com/github/kevinsawicki/http/HttpRequest.java, line(s) 608,1582 com/iflytek/voiceads/request/a.java, line(s) 185,178 com/sun/mail/util/MailSSLSocketFactory.java, line(s) 38,37,79,36 z2/cd.java, line(s) 18,18 z2/yw.java, line(s) 429,428,427,427
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (res2.mobileanjian.com) 通信。
{'ip': '58.220.52.248', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '扬州', 'latitude': '32.397221', 'longitude': '119.435600'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (imp.voiceads.cn) 通信。
{'ip': '101.126.20.1', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (down.nishuoa.com) 通信。
{'ip': '221.228.74.114', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '无锡', 'latitude': '31.569349', 'longitude': '120.288788'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v.adintl.cn) 通信。
{'ip': '101.200.165.248', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ads.oneway.mobi) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.voiceads.cn) 通信。
{'ip': '114.118.65.25', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。
{'ip': '180.97.251.189', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.51moba.com) 通信。
{'ip': '114.118.65.25', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.mobileanjian.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mt.voiceads.cn) 通信。
{'ip': '116.196.66.12', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (e-zlsdk.1rtb.net) 通信。
{'ip': '123.59.48.116', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.iflytek.com) 通信。
{'ip': '103.8.33.178', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (zlsdk.1rtb.net) 通信。
{'ip': '106.75.39.16', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api4.mobileanjian.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tl.oneway.mobi) 通信。
{'ip': '47.96.75.198', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-cn.felink.com) 通信。
{'ip': '103.27.6.115', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '厦门', 'latitude': '24.479790', 'longitude': '118.081871'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (logconf.iflytek.com) 通信。
{'ip': '103.8.33.178', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (owads.audioadx.com) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}