安全分析报告:
安全分数
安全分数 46/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
5
用户/设备跟踪器
调研结果
高危
5
中危
48
信息
3
安全
1
关注
16
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/bat/advertising/activity/AdWebActivity.java, line(s) 37,33 com/bat/base/view/act/WebActivity.java, line(s) 311,308,310,311,312 com/bat/base/view/act/WebPrivacyProtocolActivity.java, line(s) 170,167,169,170,171 com/bat/user/activity/BatGameActivity.java, line(s) 99,96,98,99,100,101 com/woyue/basic/view/components/BatWebView.java, line(s) 35,31
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/woyue/basic/utils/CipherUtil.java, line(s) 45,52 org/whispersystems/libsignal/SessionCipher.java, line(s) 59 org/whispersystems/libsignal/groups/GroupCipher.java, line(s) 47,58
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/bat/user/repository/AdCallBackRepository.java, line(s) 28
高危 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 基本配置配置为信任系统证书。
Scope: *
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity (com.woyue.batchat.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (www.batchat.feifu.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.woyue.batchat.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (www.feifu.batchat.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (www.feifu.batchat.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.bat.base.broadcast.NotificationUnmarshalReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: www.batchat.feifu.permission.PUSH_NOTIFICATION [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.bat.conversation.ui.activity.SingleCallActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.conversation.conversation.act.SingleConversationActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.conversation.conversation.act.GroupConversationActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.conversation.ui.selected.SelectContactsActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.conversation.conversation.act.ForwardActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.conversation.conversation.act.SelectFriendActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.base.intent.share.FileShareProcessActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.base.intent.view.FileViewProcessActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.base.intent.DeepLinkActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.bat.base.intent.share.FileShareProcessReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: www.batchat.feifu.permission.share.FILE [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.bat.base.intent.share.FileShareTargetService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_CHOOSER_TARGET_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.tencent.tauth.AuthActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.push.huawei.HuaweiNotificationLaunchActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.bat.push.xiaomi.XiaoMiPushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.vivo.push.sdk.service.CommandClientService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.push.permission.UPSTAGESERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.bat.push.vivo.VivoPushReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.bat.push.vivo.VivoNotificationLaunchActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.bat.push.oppo.OppoPushCompatService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.coloros.mcs.permission.SEND_MCS_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.bat.push.oppo.OppoPushQService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.heytap.mcs.permission.SEND_PUSH_MESSAGE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.bat.push.oppo.OppoNotificationLaunchActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.visir.isis.receiver.WakeUpReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.visir.isis.receiver.AutoStartWakeUpReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.visir.isis.service.JobSchedulerService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.alipay.sdk.app.PayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.alipay.sdk.app.AlipayResultActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.huawei.hms.support.api.push.PushProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.xiaomi.mipush.sdk.PushMessageHandler) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.xiaomi.xmsf.permission.MIPUSH_RECEIVE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity (com.xiaomi.mipush.sdk.NotificationClickedActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/bat/base/avatar/DataCacheKey.java, line(s) 47 com/bat/base/bean/MediaBundle.java, line(s) 233 com/bat/base/bean/MessageContent.java, line(s) 749,749 com/bat/base/bean/RecordPayload.java, line(s) 412 com/bat/base/bean/serialize/CircleContent.java, line(s) 307 com/bat/base/bean/serialize/CustomerServiceAutoMsgBean.java, line(s) 79 com/bat/base/bean/serialize/GroupApplyBean.java, line(s) 234 com/bat/base/bean/serialize/ProblemKey.java, line(s) 178 com/bat/base/database/entity/ChatSecretListTable.java, line(s) 136 com/bat/base/database/entity/ConversationGroupTable.java, line(s) 830 com/bat/base/database/entity/ConversationListTable.java, line(s) 497 com/bat/base/database/entity/ConversationSingleTable.java, line(s) 901,901 com/bat/base/database/entity/DRPreKeyTable.java, line(s) 99 com/bat/base/database/entity/DRSignedPreKeyTable.java, line(s) 135 com/bat/base/database/entity/ECCPreKeyTable.java, line(s) 99 com/bat/base/database/entity/ECCSignedPreKeyTable.java, line(s) 135 com/bat/base/database/entity/NewsInfoTable.java, line(s) 631 com/bat/base/database/entity/RecentlyEmotionTable.java, line(s) 111 com/bat/base/database/entity/UserTable.java, line(s) 1270 com/bat/base/message/ConversationDatabase.java, line(s) 838 com/bat/base/secret/Session.java, line(s) 91 com/bat/base/secret/store/IdentityRecord.java, line(s) 81 com/bat/base/utils/bubble/BubbleFileTask.java, line(s) 79 com/bat/conversation/ui/entity/UserGroupSearchEntity.java, line(s) 167 com/bat/data/hawkeye/Config.java, line(s) 125 com/bat/data/hawkeye/Device.java, line(s) 136 com/bat/data/hawkeye/data/Request.java, line(s) 119 com/woyue/basic/bean/DownloadMessage.java, line(s) 64 com/woyue/basic/bean/FileTask.java, line(s) 86 com/woyue/basic/bean/GeneratedKeyEntity.java, line(s) 95,95 com/woyue/basic/bean/serialize/SignedPreKeyEntity.java, line(s) 90 com/woyue/basic/emotion/EmotionData.java, line(s) 163 com/woyue/basic/http/tls/internal/der/PrivateKeyInfo.java, line(s) 56 com/woyue/basic/http/tls/internal/der/SubjectPublicKeyInfo.java, line(s) 49 com/woyue/basic/utils/AudioFetcher.java, line(s) 111
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/bat/base/avatar/BitmapLoadHelper.java, line(s) 13 com/bat/base/utils/ConversationHelper.java, line(s) 104 com/bat/base/utils/SimpleUtils.java, line(s) 112 com/bat/conversation/conversation/frag/ConversationFragment.java, line(s) 193 com/bat/conversation/conversation/viewmodel/GroupRecordViewModel$resendMessageByAdapterPosition$1.java, line(s) 29 com/bat/file/filehandler/ImageLoadBuilder.java, line(s) 32 com/bat/socket/client/kit/DNSHelper.java, line(s) 32 com/otaliastudios/cameraview/filters/DocumentaryFilter.java, line(s) 7 com/otaliastudios/cameraview/filters/GrainFilter.java, line(s) 8 com/otaliastudios/cameraview/filters/LomoishFilter.java, line(s) 7 com/otaliastudios/cameraview/video/encoding/AudioNoise.java, line(s) 7 com/scwang/smartrefresh/header/FunGameBattleCityHeader.java, line(s) 16 com/scwang/smartrefresh/header/TaurusHeader.java, line(s) 29 com/scwang/smartrefresh/header/storehouse/StoreHouseBarItem.java, line(s) 8 com/woyue/basic/utils/FeatureUtil.java, line(s) 30 com/woyue/basic/view/components/badgeview/BadgeAnimator.java, line(s) 12 net/jpountz/xxhash/XXHashFactory.java, line(s) 3 org/jsoup/helper/DataUtil.java, line(s) 15
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/bat/conversation/conversation/frag/ConversationFragment.java, line(s) 654 com/bat/emotion/tgs/tgslib/FileLog.java, line(s) 79 com/bat/logger/CsvFormatStrategy.java, line(s) 43 com/danikula/videocache/StorageUtils.java, line(s) 13,34 com/github/gzuliyujiang/oaid/DeviceID.java, line(s) 93,94 com/orhanobut/logger/CsvFormatStrategy.java, line(s) 43 com/ss/android/downloadlib/addownload/m.java, line(s) 142,144 com/ss/android/downloadlib/addownload/v.java, line(s) 223 com/ss/android/downloadlib/utils/dk.java, line(s) 106,200,470 com/woyue/basic/filepicker/ui/FilePickerActivity.java, line(s) 41,71 com/woyue/basic/imp/SDCardFreeSpaceCheckTask.java, line(s) 32 com/woyue/basic/screenshot/FileObserverListenerManager.java, line(s) 65,66,67 com/woyue/basic/utils/FileApiUtil.java, line(s) 401,397,407,443,447,449,982,986,988 com/woyue/basic/view/components/camera/CameraInterface.java, line(s) 517 com/woyue/basic/view/idcamera/utils/IdCardFileUtils.java, line(s) 68,67,82,101,102 com/yalantis/ucrop/util/FileUtils.java, line(s) 99 jp/co/cyberagent/android/gpuimage/GPUImage.java, line(s) 283 jp/co/cyberagent/android/gpuimage/GPUImageView.java, line(s) 97 top/zibin/luban/LubanUtils.java, line(s) 55,57
中危 IP地址泄露
IP地址泄露 Files: com/bat/base/imp/ClientPackageProviderImp.java, line(s) 31,31,31,31,31,31 com/danikula/videocache/HttpProxyCacheServer.java, line(s) 126,328,332,338 com/woyue/basic/http/tls/HeldCertificate.java, line(s) 136,119,102,143,150,134 com/woyue/basic/http/tls/internal/der/CertificateAdapters.java, line(s) 215,219,160,160 com/woyue/basic/http/tls/internal/der/TbsCertificate.java, line(s) 102,99 io/netty/resolver/dns/DefaultDnsServerAddressStreamProvider.java, line(s) 44,44
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: XI/K0/XI/XI.java, line(s) 81 com/github/gzuliyujiang/oaid/impl/OppoImpl.java, line(s) 46 org/repackage/a/a/a/a/c.java, line(s) 102 org/whispersystems/libsignal/util/KeyHelper.java, line(s) 36,49,58,75
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/bat/base/utils/wordsfilter/ComposeWordsDatabaseHelper.java, line(s) 6,7,336 com/bat/fetcher/datebase/FetcherDatabaseManagerImpl.java, line(s) 5,359 com/danikula/videocache/sourcestorage/DatabaseSourceInfoStorage.java, line(s) 6,7,57 com/ss/android/downloadlib/event/r.java, line(s) 4,5,18 com/tencent/wcdb/database/SQLiteDatabase.java, line(s) 4,478 com/tencent/wcdb/room/db/WCDBDatabase.java, line(s) 6,160
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/bat/base/utils/wordsfilter/ComposeWordsDatabaseHelper.java, line(s) 129
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/bat/fetcher/core/FetcherCoreUtilsKt.java, line(s) 254 com/bat/file/filehandler/BatFile.java, line(s) 215 com/bat/socket/client/kit/MD5Helper.java, line(s) 36,61 com/danikula/videocache/ProxyCacheUtils.java, line(s) 50
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/bat/base/view/act/WebActivity.java, line(s) 313,314,315,316,317,310 com/bat/user/activity/BatGameActivity.java, line(s) 102,98
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_APPKEY" : "5cf35f614ca3579ccd001161" 高德地图的=> "com.amap.api.v2.apikey" : "b0a5d19be030390479e656eff13cbaa6" 友盟统计的=> "UMENG_CHANNEL" : "ali" vivo推送的=> "local_iv" : "MzMsMzQsMzUsMzYsMzcsMzgsMzksNDAsNDEsMzIsMzgsMzcsMzYsMzUsMzQsMzMsI0AzNCwzMiwzMywzNywzMywzNCwzMiwzMywzMywzMywzNCw0MSwzNSwzNSwzMiwzMiwjQDMzLDM0LDM1LDM2LDM3LDM4LDM5LDQwLDQxLDMyLDM4LDM3LDMzLDM1LDM0LDMzLCNAMzQsMzIsMzMsMzcsMzMsMzQsMzIsMzMsMzMsMzMsMzQsNDEsMzUsMzIsMzIsMzI" vivo推送的=> "com.vivo.push.api_key" : "3701c1d722862e9e569f367963be6a46" vivo推送的=> "com.vivo.push.app_id" : "105522758" 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=104923221" AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-9446176696702471~7425659379" "type_certificate" : "Certificate" "library_roundedimageview_authorWebsite" : "https://github.com/vinc3m1" "pwd_can_not_see" : "******" "secret_remove" : "Remove" K1YccAEaGjYgEAsWPXAAFws6PgNCFDI7ASYcKxUIBxQ2PhA= c5165f0e3a3c47798f14e1f52813f729 DBksJQ4HNDEuCgMKIRwZFhAdIB0PHTY4Cw== OwEJKy4zC0M4MSpBLDo1MxkELTgOBx88ID4= 10017a49466786b8e4c706a210df1adc 4b463f6748c84b4048c69fa46d66a6f4 NA4HATg/IxoKPDsdCiwnKAoQHCEoBhYb MjQkNC0QdTk3aBcnKDk8EXUpMToRNjk3Og11 PzI2GhchBSQaGzouCQcQPio3FzYlOSANBiM5LAsB FQ0mMSEdB2wiPgRNAyA6HRUrNzcgCzAmLxA= aHR0cHM6Ly9zdG9yYWdlLmJhYWFhdC5jb20mNDQz 0c9e6b2b84fa45b2c3b832a11c1453eb JjAuLgopfzEhEDY0L3YnJykSORcqHSsrF2YULj0OJz82 d6f5642e268e4877a7a9d9fd910a4bd2 JCUBFikhJzsMBSgmHRAxCS4KWB0jOAcSOCI5BgcsbTseAzwrJAAP AgIgJCUKCGo3OhNCBTU+ChotIjM3BDYzKwc= aHR0cDovLzQ3Ljk4LjYzLjE1MCY4MDA3OyBodHRwOi8vNDcuOTguMjAxLjEzNyY4MDA3OyAgaHR0cDovLzQ3LjExMC43MS4zNyY4MDA3OyBodHRwczovL2h0dHBkbnMuYmFhYWF0LmNvbSY0NDM= HhYvFD4fHjI/JgkgIiEiCBYkIjceNi8yNwoHPj48CQ== baced2a60ee146a08cc251dce238c1e5 bb392ec0-8d4d-11e0-a896-0002a5d5c51b aHR0cHM6Ly9tb21lbnQuYmFhYWF0LmNvbSY0NDM7ICAgaHR0cHM6Ly9hcHBlYWwuYmFhYWF0LmNvbSY0NDM7ICBodHRwczovL21vbWVudC5iYWFhYXQuY29tJjQ0MzsgIGh0dHBzOi8vbW9tZW50LmJhYWFhdC5jb20mNDQzOyAgICBodHRwczovL21vbWVudC5iYWFhYXQuY29tJjQ0MzsgICBodHRwczovL21vbWVudC5iYWFhYXQuY29tJjQ0MzsgICBodHRwczovL3N0YXRpc3RpYy5iYWFhYXQuY29tJjQ0Mw== aHR0cHM6Ly9odHRwZG5zLmJhYWFhdC5jb20mNDQzOyBodHRwOi8vNDcuOTguNjMuMTUwJjgwMDc7IGh0dHA6Ly80Ny45OC4yMDEuMTM3JjgwMDc7ICBodHRwOi8vNDcuMTEwLjcxLjM3JjgwMDc= 548004a532874555e88a3879a96ae1d2 143b01d821e8c325d37e821517f1fb62 5cf35f614ca3579ccd001161 c06c8400-8e06-11e0-9cb6-0002a5d5c51b JCkkBSw6HjYFICE1GxgrJTElCA0+IjISPTgiPhQ6 LhcQERovHw06AjkhHSQGOBcbJxMuNxA3EzoGATsYOQ== GAgKBTgQAkAWJwlILxQjEBAHAy4tDhwSNh0= CCo/Ji0JIiINNR8cMhMxHio0ECQICj8AJBw7LgwvHw== MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANiUxZmpKBGNAt9iJ7oBWjxHPEpfm4/t1jA1ApIyUYxgDiMvBDjYIO7UkBYTqdNi2VXYro5TlgAUq+PFc4IApIsCAwEAAQ== 946eca6b182e63ebe50cf82e483715bf EV4CZywgEig3PTEeI2ctLQMkKS54HCwsLBwUNQIlPRwoKT0= fa9658173e09467d8f9507a5c08428d4 NCUNBiYcL0knDT5rCwEgGT9JEiYHaxFMfw== aHR0cHM6Ly9hcGkuYmFhYWF0LmNvbSY0NDM7ICBodHRwczovL2FwaS5iYWFhYXQuY29tJjQ0MzsgIGh0dHBzOi8vYXBpLmJhYWFhdC5jb20mNDQzOyAgIGh0dHBzOi8vcGF5LmJhYWFhdC5jb20mNDQzOyAgaHR0cHM6Ly9tb21lbnQuYmFhYWF0LmNvbSY0NDM= MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAPreA+KR6J4NIeptpmD806Qb/Fz54UoBDdDRS7V28dTGfH5YRIEyDJewfQtjUPrGYNOVCo1dasPXR6fHQx794FUCAwEAAQ== JV8AdQkUEyolGAUfIXUIGQImOwtMHS4+CSgVNxAACR0qOxg= LxwXHREqHi0HPSMfCxsJAhccUyUoAREZACkAEAwUZgIICAQgHRYE aHR0cDovLzEwLjEwLjEuOTAmODc3MTsgICAgICBodHRwOi8vMTAuMTAuMS45MCY4Nzc0OyAgICAgIGh0dHA6Ly8xMC4xMC4xLjQxJjgwOyAgICAgICAgIGh0dHA6Ly8xMC4xMC4xLjkwJjgwMDY7ICAgICAgaHR0cDovLzEwLjEwLjEuOTAmOTY4OQ== aHR0cHM6Ly9nZW8uYmFhYWF0LmNvbSY0NDM= 5dd0e096abce3ec2841d8bc95ddb6690 DRs2PSAIGQwnDAEYKjs4IBA9cwIIFDY6DQsUISwzRBw2aS8RGSk= 460643a974555d792b8f5a6e1a5d323c 61edf5c4fdcd5abbc6e9329823a77c47 EgUvEDkaD2UDJgNFCgEiGh0iFi8nAzkHNxdPGwM1GAosBx8dDSQ= aHR0cDovLzEwLjEwLjEuOTAmODA4ODsgICAgICAgICAgaHR0cDovLzEwLjEwLjEuOTAmOTAwMTsgICAgICAgICBodHRwOi8vMTAuMTAuMS45MCY4MDg4OyAgICAgICAgIGh0dHA6Ly8xMC4xMC4xLjkwJjkwMDQ7ICAgICAgICAgICBodHRwOi8vMTAuMTAuMS45MCY5MDA2OyAgICAgICAgICBodHRwOi8vMTAuMTAuMS45MCY5OTk5OyAgICAgICAgICBodHRwOi8vMTAuMTAuMS44NSY5OTk5
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/aigestudio/wheelpicker/WheelPicker.java, line(s) 514,519,528,650 com/bat/advertising/loader/GDTAdLoader.java, line(s) 230,237,245,256,272 com/bat/audiorecord/AacAudioCodec.java, line(s) 66,107,182 com/bat/audiorecord/WavAudioCodec.java, line(s) 159,194,288 com/bat/audiorecord/convert/PcmToWav.java, line(s) 49,13,46 com/bat/base/http/CallFactoryProxy.java, line(s) 47 com/bat/base/utils/StickerUtils.java, line(s) 162,165 com/bat/conversation/ui/model/SingleCallModule$upDateSdpAndIce$1.java, line(s) 63 com/bat/conversation/ui/model/SingleCallModule$upDateSdpAndIce$2.java, line(s) 40 com/bat/conversation/ui/model/SingleCallModule.java, line(s) 584 com/bat/conversation/view/components/LinkTextView.java, line(s) 188,84,88,94,130,134 com/bat/conversation/view/components/avloading/AVLoadingIndicatorView.java, line(s) 319 com/bat/emotion/tgs/tgslib/FileLog.java, line(s) 34 com/bat/fetcher/core/FetcherLogger.java, line(s) 39,62,53,72 com/bat/fingerprint/impl/AndroidFingerprint.java, line(s) 58 com/bat/image/edit/core/EditImage.java, line(s) 520 com/bat/image/edit/widget/EditStickerView.java, line(s) 54,110 com/danikula/videocache/HttpProxyCacheDebuger.java, line(s) 11,18,26,36,46 com/dds/webrtclib/AsyncPlayer.java, line(s) 51,89,91 com/dds/webrtclib/PeerConnectionHelper.java, line(s) 194,201,203,262,593,134,142,154,179,233,255,275,306,318,330,336,421,150,183,188,216,220,267,158,259,433 com/dds/webrtclib/RtcAudioManager.java, line(s) 78,93,153,226 com/dds/webrtclib/ui/ChatRoomActivity.java, line(s) 265 com/dds/webrtclib/ui/ChatSingleActivity.java, line(s) 204 com/dds/webrtclib/utils/SdpUtils.java, line(s) 82,46,63,75 com/fingerprints/service/FingerprintManager.java, line(s) 291,405,411,112,446,465,477,536,563,565,593,635 com/github/gzuliyujiang/oaid/OAIDLog.java, line(s) 18 com/makeramen/roundedimageview/RoundedDrawable.java, line(s) 147 com/makeramen/roundedimageview/RoundedImageView.java, line(s) 129,147 com/otaliastudios/cameraview/CameraLogger.java, line(s) 31,39,42,36 com/otaliastudios/opengl/core/EglContextFactory.java, line(s) 60 com/otaliastudios/opengl/core/EglNativeConfigChooser.java, line(s) 40 com/otaliastudios/opengl/core/EglNativeCore.java, line(s) 103 com/otaliastudios/opengl/core/Egloo.java, line(s) 45,57,68 com/qmuiteam/qmui/qqface/QMUIQQFaceView.java, line(s) 1336,1398,1420 com/qmuiteam/qmui/skin/QMUISkinHelper.java, line(s) 68 com/qmuiteam/qmui/skin/QMUISkinManager.java, line(s) 208,263,382 com/qmuiteam/qmui/span/QMUITouchableSpan.java, line(s) 62 com/qmuiteam/qmui/util/QMUIDeviceHelper.java, line(s) 41,69 com/qmuiteam/qmui/util/QMUINotchHelper.java, line(s) 98,100,102,281,284,310,278,307 com/qmuiteam/qmui/widget/pullRefreshLayout/QMUIPullRefreshLayout.java, line(s) 668,692,887,637,819,831,861 com/qmuiteam/qmui/widget/section/QMUIStickySectionAdapter.java, line(s) 71 com/qmuiteam/qmui/widget/tab/QMUIBasicTabSegment.java, line(s) 367 com/qmuiteam/qmui/widget/textview/QMUILinkTextView.java, line(s) 184,78,82,88,125,129 com/qmuiteam/qmui/widget/webview/QMUIWebView.java, line(s) 153,161,163 com/samsung/android/sdk/pass/Spass.java, line(s) 53 com/samsung/android/sdk/pass/SpassFingerprint.java, line(s) 133,136,219,347,352,208,213,233,320,355,626,149,184,365,376,567,648 com/samsung/android/sdk/pass/d.java, line(s) 15 com/samsung/android/sdk/pass/support/SdkSupporter.java, line(s) 27 com/samsung/android/sdk/pass/support/v1/FingerprintManagerProxyFactory.java, line(s) 73 com/tencent/wcdb/AbstractCursor.java, line(s) 127 com/tencent/wcdb/BulkCursorToCursorAdaptor.java, line(s) 131,35,55,143 com/tencent/wcdb/DatabaseUtils.java, line(s) 143,179,610,697,705 com/tencent/wcdb/DefaultDatabaseErrorHandler.java, line(s) 24,30,66 com/tencent/wcdb/database/SQLiteAsyncQuery.java, line(s) 37,48 com/tencent/wcdb/database/SQLiteConnection.java, line(s) 167,716 com/tencent/wcdb/database/SQLiteConnectionPool.java, line(s) 120,167,309,321,337,149,367,253,610 com/tencent/wcdb/database/SQLiteCursor.java, line(s) 95,151 com/tencent/wcdb/database/SQLiteDatabase.java, line(s) 234,590,676,815,416,420 com/tencent/wcdb/database/SQLiteDebug.java, line(s) 75,131 com/tencent/wcdb/database/SQLiteDirectCursor.java, line(s) 66,130,174 com/tencent/wcdb/database/SQLiteDirectQuery.java, line(s) 82 com/tencent/wcdb/database/SQLiteOpenHelper.java, line(s) 69,117 com/tencent/wcdb/database/SQLiteQuery.java, line(s) 27 com/tencent/wcdb/database/SQLiteQueryBuilder.java, line(s) 228 com/tencent/wcdb/repair/DBDumpUtil.java, line(s) 25 com/woyue/basic/BatApplication.java, line(s) 478 com/woyue/basic/utils/AppBadgeUtils.java, line(s) 74 com/woyue/basic/utils/FileApiUtil.java, line(s) 939,942 com/woyue/basic/utils/Logg.java, line(s) 129,136,144,151,158 com/woyue/basic/utils/SoftKeyBoardListener.java, line(s) 34 com/woyue/basic/utils/share/QQShareUtils.java, line(s) 37,43,49,98 com/woyue/basic/videodatasource/GSYDefaultHttpDataSource.java, line(s) 109 com/woyue/basic/view/WheelView.java, line(s) 256 com/woyue/basic/view/components/DragScrollView.java, line(s) 83 com/woyue/basic/view/components/SwipeItemLayout.java, line(s) 340,359,374,378 com/woyue/basic/view/components/camera/CameraInterface.java, line(s) 176,361,220,258,265,310,325,365,482,528,535,541 com/woyue/basic/view/components/camera/CameraParamUtil.java, line(s) 73,94,108,112,119,123 com/woyue/basic/view/components/camera/CheckPermission.java, line(s) 16,22 com/woyue/basic/view/components/camera/JCameraView.java, line(s) 445 com/woyue/basic/view/floatview/AVCallFloatView.java, line(s) 55,100 com/woyue/basic/view/floatview/FloatWindowManager.java, line(s) 84,80,91,182 com/woyue/basic/view/idcamera/IdCardUtils.java, line(s) 34 com/woyue/basic/view/idcamera/camera/AutoFocusManager.java, line(s) 50,71,74,88 com/woyue/basic/view/idcamera/camera/CameraPreview.java, line(s) 89,162 com/woyue/basic/view/idcamera/cropper/CropOverlayView.java, line(s) 238,309,336,337,353,362,402,403,428 com/yalantis/ucrop/UCropActivity.java, line(s) 541 com/yalantis/ucrop/task/BitmapCropTask.java, line(s) 175,137 com/yalantis/ucrop/task/BitmapLoadTask.java, line(s) 50,105,108,116,154,157 com/yalantis/ucrop/util/BitmapLoadUtils.java, line(s) 58,152,187,189,219 com/yalantis/ucrop/util/EglUtils.java, line(s) 74 com/yalantis/ucrop/util/FileUtils.java, line(s) 107 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 128,183,193,206,215,223,232,239,248,261,268,275,291,307,311,316,325,328,333,348,359,366,373,182,192,205,214,222,231,238,290,306,310,315,324,327,332 com/yalantis/ucrop/view/TransformImageView.java, line(s) 171,225,95,280 io/microshow/rxffmpeg/FFmpegCommand.java, line(s) 116 io/microshow/rxffmpeg/Logs.java, line(s) 23,31 jp/co/cyberagent/android/gpuimage/GLTextureView.java, line(s) 150,165,276,790,222 jp/co/cyberagent/android/gpuimage/PixelBuffer.java, line(s) 77,81,93 jp/co/cyberagent/android/gpuimage/util/OpenGlUtils.java, line(s) 14,19,28,43 net/jpountz/lz4/LZ4Factory.java, line(s) 93,94 net/jpountz/util/Native.java, line(s) 45 net/jpountz/xxhash/XXHashFactory.java, line(s) 92,93 org/whispersystems/libsignal/SessionBuilder.java, line(s) 38 org/whispersystems/libsignal/state/SessionState.java, line(s) 60,134 top/zibin/luban/Luban.java, line(s) 221,220 top/zibin/luban/LubanUtils.java, line(s) 22 top/zibin/luban/io/LruArrayPool.java, line(s) 115,152,116,153 www/batchat/feifu/wxapi/WXPayEntryActivity.java, line(s) 40 www/feifu/batchat/wxapi/WXPayEntryActivity.java, line(s) 40
信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/bat/advertising/utils/AdPercentController.java, line(s) 25,25 com/bat/data/hawkeye/sealup/HEUtils.java, line(s) 273,273 com/bat/socket/client/surface/SocketClient.java, line(s) 104,104 com/bat/socket/direct/kit/SPSimple.java, line(s) 20,20
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/woyue/basic/utils/AbsUiUtil.java, line(s) 7,689
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/bat/advertising/http/AdRetrofitClient.java, line(s) 47,47 com/bat/base/http/BaseRetrofitClient.java, line(s) 107,97,114,131 com/bat/base/http/OthersRetrofitClient.java, line(s) 77,67 com/bat/data/hawkeye/http/HttpClient.java, line(s) 45,45 com/bat/socket/client/kit/HttpRequestHelper.java, line(s) 164,166 com/bat/socket/client/kit/SslContextFactory.java, line(s) 225,80,153 com/bat/socket/direct/kit/SslContextFactory.java, line(s) 91,91 com/danikula/videocache/HttpUrlSource.java, line(s) 71,68,73 com/woyue/basic/http/tls/internal/TlsUtil.java, line(s) 108,78,106,106 com/woyue/basic/utils/SSLUtil.java, line(s) 58,44,56,56 com/woyue/basic/videodatasource/GSYDefaultHttpDataSource.java, line(s) 143,121,145
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.zhihu.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.shandw.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v.kuaishou.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.toutiaopage.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.ads.heytapmobi.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.batchatapp.com) 通信。
{'ip': '47.110.92.187', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (apps.oceanengine.com) 通信。
{'ip': '58.222.46.206', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (v.douyin.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.chengzijianzhan.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '台州', 'latitude': '32.492168', 'longitude': '119.910767'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.batchat.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mobweb.baaaat.com) 通信。
{'ip': '47.114.83.40', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bugs.baaaat.com) 通信。
{'ip': '47.110.92.187', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (i.snssdk.com) 通信。
{'ip': '121.228.130.193', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ipinfo.baaaat.com) 通信。
{'ip': '47.114.83.40', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (sf6-ttcdn-tos.pstatp.com) 通信。
{'ip': '115.231.153.88', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '台州', 'latitude': '28.666668', 'longitude': '121.349998'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (bj.ssp.haoyue28.com) 通信。
{'ip': '59.110.6.253', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}