安全分析报告: Cx File Explorer v2.2.1

安全分数


安全分数 43/100

风险评级


等级

  1. A
  2. B
  3. C
  4. F

严重性分布 (%)


隐私风险

2

用户/设备跟踪器


调研结果

高危 9
中危 34
信息 2
安全 2
关注 3

高危 基本配置不安全地配置为允许到所有域的明文流量。 

Scope:
*

高危 基本配置配置为信任用户安装的证书。 

Scope:
*

高危 不恰当的内容提供者权限 

[pathPrefix=/]
Content Provider 权限已设置为允许从设备上的任何其他应用程序访问。Content Provider可能包含有关应用程序的敏感信息,因此不应该被共享

高危 使用弱加密算法 

使用弱加密算法
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/e3/w1.java, line(s) 24
ax/ti/b.java, line(s) 708,504,525,1012,1015
com/jcraft/jsch/jce/TripleDESCBC.java, line(s) 67
com/jcraft/jsch/jce/TripleDESCTR.java, line(s) 67

高危 该文件是World Writable。任何应用程序都可以写入文件 

该文件是World Writable。任何应用程序都可以写入文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
ax/w3/j.java, line(s) 19

高危 该文件是World Readable。任何应用程序都可以读取文件 

该文件是World Readable。任何应用程序都可以读取文件
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2

Files:
ax/s3/d.java, line(s) 16,12

高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 

应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/e3/w1.java, line(s) 40

高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 

不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification

Files:
ax/n3/b.java, line(s) 214,210

高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 

如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7

Files:
com/box/androidsdk/content/auth/OAuthWebView.java, line(s) 284,293,20,21

中危 基本配置配置为信任系统证书。 

Scope:
*

中危 应用程序已启用明文网络流量 

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。

中危 应用程序数据存在被泄露的风险 

未设置[android:allowBackup]标志
这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

中危 Activity (com.alphainventor.filemanager.activity.ArchiveActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.texteditor.TextEditorActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.alphainventor.filemanager.viewer.VideoPlayerActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.alphainventor.filemanager.viewer.VideoPlayerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.LaunchActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity设置了TaskAffinity属性 

(com.alphainventor.filemanager.activity.ShortcutActivity)
如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名

中危 Activity (com.alphainventor.filemanager.activity.ShortcutActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.UsbAttachActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.PickerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.SaveToActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.SplitApkInstallerActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.alphainventor.filemanager.activity.MSURLLauncherActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.alphainventor.filemanager.receiver.BootReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (com.alphainventor.filemanager.receiver.StorageCheckReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.dropbox.core.android.AuthActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.BIND_JOB_SERVICE [android:exported=true]
发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。 

Permission: android.permission.DUMP [android:exported=true]
发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。

中危 Service (com.example.android.uamp.MusicService) 未被保护。 

[android:exported=true]
发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Broadcast Receiver (androidx.media.session.MediaButtonReceiver) 未被保护。 

[android:exported=true]
发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 Activity (com.box.androidsdk.content.auth.OAuthActivity) 未被保护。 

[android:exported=true]
发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。

中危 应用程序使用不安全的随机数生成器 

应用程序使用不安全的随机数生成器
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
ax/e3/z0.java, line(s) 18
ax/f3/s0.java, line(s) 49
ax/kk/a.java, line(s) 3
ax/kk/b.java, line(s) 4
ax/la/c.java, line(s) 4
ax/lk/a.java, line(s) 5
ax/mf/a.java, line(s) 12
ax/pa/x2.java, line(s) 19
ax/q3/a.java, line(s) 14
ax/q5/b.java, line(s) 30
ax/s5/n.java, line(s) 17
ax/sj/r.java, line(s) 9
ax/tm/e.java, line(s) 27
ax/w3/a.java, line(s) 4
ax/w3/d.java, line(s) 5
ax/w3/i.java, line(s) 8
ax/x3/x.java, line(s) 51
ax/yf/d.java, line(s) 15
ax/z5/d.java, line(s) 19
ax/zf/d.java, line(s) 12
com/alphainventor/filemanager/viewer/VideoPlayerActivity.java, line(s) 81
j$/util/concurrent/ThreadLocalRandom.java, line(s) 15

中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 

应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2

Files:
ax/x7/m0.java, line(s) 5,6,60
ax/x7/t0.java, line(s) 4,5,124
ax/z1/a.java, line(s) 5,6,7,8,69
com/alphainventor/filemanager/bookmark/BookmarkProvider.java, line(s) 9,10,11,12,31

中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 

文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10

Files:
ax/jd/d.java, line(s) 76
ax/q4/i.java, line(s) 74
ax/sj/r0.java, line(s) 136
ax/t4/b.java, line(s) 38
ax/t4/n.java, line(s) 87
ax/t4/u.java, line(s) 74

中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 

应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
ax/f3/c0.java, line(s) 191,193,195,198,203
ax/f3/t0.java, line(s) 92,167,170
ax/qh/f.java, line(s) 17,37
ax/s2/e.java, line(s) 895,897,328,363,625,649,653
ax/s2/f.java, line(s) 584,630
ax/x2/c.java, line(s) 91
ax/z2/h0.java, line(s) 1008,1371

中危 IP地址泄露 

IP地址泄露


Files:
ax/aj/a.java, line(s) 369
ax/an/a.java, line(s) 73
ax/bn/a.java, line(s) 13,6,14,15,16,7,8,9,10,11,12,17
ax/cn/a.java, line(s) 246,270,262,209,210,211,212,213,214,331,330,328,329,307,308
ax/e3/a0.java, line(s) 161
ax/m3/c.java, line(s) 119
ax/mg/d.java, line(s) 4
ax/mj/b.java, line(s) 87
ax/qj/e.java, line(s) 293
ax/qj/g.java, line(s) 52,64
ax/wn/e.java, line(s) 73,74,66,75,76,77,59
ax/zf/d.java, line(s) 16
ax/zm/a.java, line(s) 6,7
com/alphainventor/filemanager/service/b.java, line(s) 49
com/jcraft/jsch/ChannelDirectTCPIP.java, line(s) 10
com/jcraft/jsch/ChannelForwardedTCPIP.java, line(s) 105
com/jcraft/jsch/ChannelX11.java, line(s) 14
com/jcraft/jsch/PortWatcher.java, line(s) 27,114,110
com/jcraft/jsch/Session.java, line(s) 1291,147,148,1278,1286,1299

中危 SHA-1是已知存在哈希冲突的弱哈希 

SHA-1是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/ae/b.java, line(s) 51
ax/ti/b.java, line(s) 484
ax/x3/d.java, line(s) 28
com/box/androidsdk/content/utils/SdkUtils.java, line(s) 148
com/jcraft/jsch/jce/SHA1.java, line(s) 26
com/jcraft/jsch/jce/SignatureDSA.java, line(s) 27

中危 MD5是已知存在哈希冲突的弱哈希 

MD5是已知存在哈希冲突的弱哈希
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4

Files:
ax/sj/r.java, line(s) 119
ax/sj/t.java, line(s) 17
ax/ti/b.java, line(s) 28,593
ax/tj/c.java, line(s) 25
ax/x3/d.java, line(s) 23,91
com/jcraft/jsch/jce/MD5.java, line(s) 26

中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 

应用程序创建临时文件。敏感信息永远不应该被写进临时文件


Files:
ax/ae/c.java, line(s) 77
ax/b1/a.java, line(s) 2919

中危 应用程序包含隐私跟踪程序 

此应用程序有多个2隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。

中危 此应用可能包含硬编码机密信息 

从应用程序中识别出以下机密确保这些不是机密或私人信息
"boxsdk_Authenticating" : "Authenticating"
"boxsdk_alert_dialog_password" : "Password"
"boxsdk_alert_dialog_username" : "Username"
"com.google.firebase.crashlytics.mapping_file_id" : "7ee439e329834965bf35dbd59cae1455"
"dialog_entry_password" : "Password"
"dialog_entry_username" : "Username"
"dropbox_key" : "db-vihtxlq1likiapn"
"firebase_database_url" : "https://cx-file-explorer.firebaseio.com"
"google_api_key" : "AIzaSyDgDD70zbma9JvsCQBkieXgbLz0UFYU5Io"
"google_crash_reporting_api_key" : "AIzaSyDgDD70zbma9JvsCQBkieXgbLz0UFYU5Io"
"boxsdk_alert_dialog_password" : "Kennwort"
"boxsdk_alert_dialog_username" : "Benutzername"
"dialog_entry_password" : "Passwort"
"dialog_entry_username" : "Benutzername"
"boxsdk_Authenticating" : "Autenticando"
"dialog_entry_password" : "Senha"
"boxsdk_alert_dialog_password" : "Parola"
"boxsdk_Authenticating" : "Autenticazione"
"boxsdk_alert_dialog_password" : "Password"
"dialog_entry_password" : "Password"
"boxsdk_Authenticating" : "Godkender"
"boxsdk_alert_dialog_password" : "Adgangskode"
"boxsdk_alert_dialog_username" : "Brugernavn"
"boxsdk_Authenticating" : "Godkjenner"
"boxsdk_alert_dialog_password" : "Passord"
"boxsdk_alert_dialog_username" : "Brukernavn"
"boxsdk_Authenticating" : "Varmennetaan"
"boxsdk_alert_dialog_password" : "Salasana"
"boxsdk_alert_dialog_password" : "Wachtwoord"
"boxsdk_alert_dialog_username" : "Gebruikersnaam"
"boxsdk_Authenticating" : "Uwierzytelnianie"
"boxsdk_Authenticating" : "Godkjenner"
"boxsdk_alert_dialog_password" : "Passord"
"boxsdk_alert_dialog_username" : "Brukernavn"
"boxsdk_Authenticating" : "Autenticando"
"boxsdk_alert_dialog_password" : "Senha"
"boxsdk_Authenticating" : "Autentiserar"
"boxsdk_Authenticating" : "Authenticating"
"boxsdk_alert_dialog_password" : "Password"
"boxsdk_alert_dialog_username" : "Username"
"boxsdk_Authenticating" : "Autenticando"
8a885d04-1ceb-11c9-9fe8-08002b104860
470fa2b4ae81cd56ecbcda9735803434cec591fa
12345778-1234-abcd-ef00-0123456789ab
367abb81-9844-35f1-ad32-98f038001003
b31d3cb91f694e99bc65b2ed68322b14
12345778-1234-ABCD-EF00-0123456789AB
12345778-1234-abcd-ef00-0123456789ac
4fc742e0-4a10-11cf-8273-00aa004ae673
12345778-1234-ABCD-EF00-0123456789AC
4b324fc8-1670-01d3-1278-5a47bf6ee188
eff919b3-66ba-486e-ac0a-0fade9a97aef
KgKIRfiAPKp0XWCB6ZTQGMvPJDMNN3o7
8138e8a0fcf3a4e84a771d40fd305d7f4aa59306d7251de54d98af8fe95729a1f73d893fa424cd2edc8636a6c3285e022b0e3866a565ae8108eed8591cd4fe8d2ce86165a978d719ebf647f362d33fca29cd179fb42401cbaf3df0c614056f9c8f3cfd51e474afb6bc6974f78db8aba8e9e517fded658591ab7502bd41849462f
da39a3ee5e6b4b0d3255bfef95601890afd80709

信息 应用程序记录日志信息,不得记录敏感信息 

应用程序记录日志信息,不得记录敏感信息
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs

Files:
ax/aa/a.java, line(s) 18
ax/aa/a1.java, line(s) 114
ax/aa/b0.java, line(s) 119,122,125,128,131,134,145,148,151,154,193,203
ax/aa/b1.java, line(s) 25
ax/aa/c.java, line(s) 172,194,425,429,433,439
ax/aa/c1.java, line(s) 18
ax/aa/e0.java, line(s) 30
ax/aa/e1.java, line(s) 37,55
ax/aa/k1.java, line(s) 45,52
ax/aa/o1.java, line(s) 47
ax/aa/x0.java, line(s) 29
ax/ab/h.java, line(s) 49
ax/ae/b.java, line(s) 55,72
ax/ah/e.java, line(s) 74,79,83,280,344,347
ax/ah/x.java, line(s) 64
ax/b1/a.java, line(s) 829,1006,1028,1169,1172,1182,1189,1217,1243,1247,1254,1273,1289,1322,1342,1349,1356,1399,1425,1443,1449,1487,1572,1640,1905,1911,1917,1986,2003,2093,2251,2270,2286,2293,2486,2533,2553,2566,2597,2622,2752,2796,2812,2816,3109,3169,3219,3391,3398,3434,3459,3609,480,488,522,534,546,558,570,582,594,606,618,625,636,648,94,631,1094,1936,1945,2479,2767,2829,2832,3103,3119,3127,3277,3287,3339,3855
ax/b1/b.java, line(s) 40
ax/b5/d.java, line(s) 62,61,71,85,86
ax/b5/g.java, line(s) 172,179,272,282,295,309,325,329,334,343,346,351,362,370,171,178,271,281,294,308,324,328,333,342,345,350,361,369
ax/b5/i.java, line(s) 75,233,74,133,187,197,232,134,188,299
ax/b5/j.java, line(s) 41,42
ax/b7/b.java, line(s) 70
ax/be/c.java, line(s) 87,92,114,120,121,142,144
ax/c2/b.java, line(s) 29
ax/c4/a.java, line(s) 68,85
ax/cd/g.java, line(s) 27,32,37,46,84
ax/cd/o.java, line(s) 96
ax/cl/i.java, line(s) 52,57,63
ax/d2/m0.java, line(s) 26,68
ax/da/a.java, line(s) 41,46,33,61
ax/dh/a.java, line(s) 394
ax/e0/d.java, line(s) 78,230
ax/e0/i.java, line(s) 45
ax/e0/m0.java, line(s) 158,171,177,205,232,242,280,288,157,170,176,204,231,241,279,287,111,180,199,223
ax/e0/r0.java, line(s) 65
ax/e2/g.java, line(s) 252,255
ax/e7/a.java, line(s) 91,103,104,94
ax/ea/b.java, line(s) 52,61
ax/ed/f.java, line(s) 31,41,15,51,61,71
ax/f5/a.java, line(s) 73,88,74,89
ax/f5/d.java, line(s) 22,23
ax/f5/i.java, line(s) 40,41
ax/f7/b.java, line(s) 27
ax/fa/g.java, line(s) 15
ax/fa/o.java, line(s) 17,16
ax/fm/e.java, line(s) 475
ax/fm/r0.java, line(s) 659
ax/g1/a.java, line(s) 29
ax/g2/j.java, line(s) 21,23,32,34,43,45,54,56,65,67
ax/g4/a.java, line(s) 49,63,105,90
ax/g4/b.java, line(s) 55,180
ax/g4/c.java, line(s) 60,141,59,140,42
ax/g7/a.java, line(s) 40,52,57,60,63
ax/g7/f.java, line(s) 26
ax/ge/j.java, line(s) 59
ax/h0/c.java, line(s) 58
ax/h0/d.java, line(s) 64
ax/h0/h.java, line(s) 317,335,341,142,151,268
ax/h5/k.java, line(s) 94,95
ax/h5/l.java, line(s) 173,174,188
ax/h5/o.java, line(s) 111,112
ax/h7/a.java, line(s) 17,24,74,77
ax/h7/b.java, line(s) 24,31,137,186
ax/h7/d.java, line(s) 21
ax/h7/f.java, line(s) 79,158,217,76
ax/h7/j.java, line(s) 65
ax/hd/l.java, line(s) 158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176
ax/i0/d.java, line(s) 626,631
ax/i0/f.java, line(s) 75
ax/i0/g.java, line(s) 36,69
ax/i0/h.java, line(s) 48,107
ax/i0/m.java, line(s) 107
ax/i5/d.java, line(s) 38,45,56,61,37,44,49,55,60,50
ax/i7/a.java, line(s) 21
ax/ia/d.java, line(s) 34,100
ax/j0/a.java, line(s) 146,155,197,207
ax/j0/e.java, line(s) 30,65
ax/j7/a.java, line(s) 14,17
ax/k5/h.java, line(s) 222,344,380,390,394,177,207
ax/k7/a.java, line(s) 49,60,54
ax/ka/a5.java, line(s) 43
ax/ka/e0.java, line(s) 22
ax/ka/f0.java, line(s) 25
ax/ka/g0.java, line(s) 22
ax/ka/h0.java, line(s) 27
ax/ka/k0.java, line(s) 199,95,117,139,192
ax/ka/q.java, line(s) 92
ax/ka/x.java, line(s) 65
ax/ka/z.java, line(s) 22
ax/l/s.java, line(s) 181
ax/l1/b.java, line(s) 42,57,65,89,183,202,314,332,371,377,397,49
ax/l4/c.java, line(s) 22,31,45,52,14,38
ax/m1/d.java, line(s) 74
ax/m3/c.java, line(s) 128,147
ax/m9/n.java, line(s) 21,27,50,66
ax/n0/g.java, line(s) 25,29,33
ax/n0/s.java, line(s) 37
ax/n1/a.java, line(s) 159,164,171,175,191,222
ax/n4/c.java, line(s) 139,148,108,138,145,109
ax/o1/b.java, line(s) 60,33,609,71,614,625,664,686,690,710,758,797,821,1002
ax/o4/a.java, line(s) 290
ax/oa/e2.java, line(s) 28,38,42,53,55
ax/oa/g2.java, line(s) 15,17
ax/oa/n0.java, line(s) 30
ax/oa/p.java, line(s) 54,61,70,74
ax/oa/r.java, line(s) 40,44,57
ax/oa/v0.java, line(s) 44,48,53,192
ax/oa/z0.java, line(s) 47
ax/ob/a.java, line(s) 384
ax/p0/b.java, line(s) 50,53
ax/p4/d.java, line(s) 83,111,82,110
ax/p4/e.java, line(s) 497,519,534,496,518,533,302
ax/p5/a.java, line(s) 68,69
ax/p7/k.java, line(s) 31,60,65,70,83,86,89,92,95
ax/p9/a.java, line(s) 110,144
ax/p9/d.java, line(s) 23,41,50,60
ax/pa/b1.java, line(s) 19
ax/pa/b6.java, line(s) 98
ax/pa/j6.java, line(s) 57
ax/pa/k6.java, line(s) 59,77
ax/pa/l6.java, line(s) 19
ax/pa/q6.java, line(s) 15
ax/pa/r6.java, line(s) 18
ax/pa/s6.java, line(s) 15
ax/pa/v0.java, line(s) 26,35,64,78,25,34,63
ax/pa/v1.java, line(s) 57
ax/pa/x2.java, line(s) 64,56,72,81,94,100,176,187
ax/pa/x5.java, line(s) 39
ax/q/d.java, line(s) 120,163,247
ax/q9/i.java, line(s) 175,184
ax/qa/y.java, line(s) 72,88,94,77,83,89,95
ax/qo/j.java, line(s) 62
ax/r/c.java, line(s) 280
ax/r0/b.java, line(s) 61
ax/r0/k0.java, line(s) 1350,1229,1349
ax/r0/m0.java, line(s) 40,51
ax/r0/o0.java, line(s) 44,53,67,87,101,114,130
ax/r0/u.java, line(s) 100
ax/r0/u0.java, line(s) 766,785,550,562,569,578,41,60,757
ax/r4/a.java, line(s) 44,43
ax/r4/h.java, line(s) 45,131,44,125,130,126
ax/r4/j.java, line(s) 45,44
ax/rb/d.java, line(s) 134,167
ax/s/d0.java, line(s) 112
ax/s/e0.java, line(s) 73
ax/s/t.java, line(s) 283,559,201,206,213,240,364
ax/s/v.java, line(s) 174,206
ax/s0/f0.java, line(s) 307
ax/s1/c.java, line(s) 229,231
ax/s1/e.java, line(s) 213,187,191
ax/s1/h.java, line(s) 53
ax/s1/m.java, line(s) 124,162
ax/s1/s.java, line(s) 41
ax/s1/x.java, line(s) 67
ax/s4/c.java, line(s) 107,106
ax/s4/e.java, line(s) 52,51
ax/sb/b.java, line(s) 65
ax/t0/f.java, line(s) 184
ax/t4/f.java, line(s) 601,343,358,600,460
ax/t4/g.java, line(s) 46,47
ax/t4/i.java, line(s) 252,260,268,278,205
ax/t4/o.java, line(s) 98
ax/t4/w.java, line(s) 31,32
ax/t7/a.java, line(s) 18,25,32,17,24,31,45,46,52,53
ax/u0/c.java, line(s) 49,58
ax/u0/h.java, line(s) 51,60
ax/u0/l.java, line(s) 44,43
ax/u4/i.java, line(s) 110,230,111,231
ax/u4/k.java, line(s) 110,151,162,174,66,109,119,140,150,161,173,200,207,72,120,201,208,141
ax/u6/b.java, line(s) 25
ax/ub/g.java, line(s) 269
ax/ui/c.java, line(s) 16
ax/v4/e.java, line(s) 43,53,67,73,44,68,56,74
ax/v4/i.java, line(s) 121,100
ax/v9/g.java, line(s) 33
ax/va/a.java, line(s) 50,77,71,29,43
ax/vk/a.java, line(s) 25
ax/w4/a.java, line(s) 92,155,91,154
ax/wg/a.java, line(s) 44,36,52,54
ax/x0/c.java, line(s) 120
ax/x3/n.java, line(s) 51
ax/x9/a0.java, line(s) 52
ax/x9/e0.java, line(s) 77,98,102,138,142,63
ax/x9/h.java, line(s) 116,164,171
ax/x9/j0.java, line(s) 49,52,30
ax/x9/m.java, line(s) 34,103,47,85,132,141,146,150,153,161,173
ax/x9/n.java, line(s) 39,128
ax/x9/o0.java, line(s) 47,49,45
ax/x9/r.java, line(s) 33
ax/xa/a.java, line(s) 82,86
ax/xc/d.java, line(s) 245,179,183,195
ax/xl/e.java, line(s) 54,56,82
ax/y1/c.java, line(s) 39,26,30
ax/y4/c.java, line(s) 16,15
ax/y4/d.java, line(s) 38,37
ax/y4/f.java, line(s) 94,93
ax/y4/r.java, line(s) 49,50
ax/y4/s.java, line(s) 34,33
ax/yk/a.java, line(s) 14
ax/z2/q.java, line(s) 31
ax/z2/t.java, line(s) 143,182,205,228,260,283,326,370
ax/z9/c0.java, line(s) 40
com/alphainventor/filemanager/FileManagerApp.java, line(s) 28
com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java, line(s) 642,202,206,388,392,458,1752,1972,2333
com/github/mjdev/libaums/c.java, line(s) 91,114,68,120,41,46,56,71,99,50

信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 

此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard

Files:
ax/f3/s0.java, line(s) 7,563

安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 

此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4

Files:
ax/u5/b.java, line(s) 87,64,84
ax/wl/d.java, line(s) 103,102,101
ax/wl/e.java, line(s) 132,122,142,130,130
ax/wl/j.java, line(s) 105,104,103,103
ax/wl/k.java, line(s) 244,232,242,242

安全 此应用程序可能具有Root检测功能 

此应用程序可能具有Root检测功能
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1

Files:
ax/hd/g.java, line(s) 394,394,397
ax/ka/k0.java, line(s) 75
ax/pa/k6.java, line(s) 33

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (firebase-settings.crashlytics.com) 通信。 

{'ip': '180.163.150.34', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。 

{'ip': '180.163.150.34', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。 

{'ip': '180.163.150.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}

安全评分: ( Cx File Explorer 2.2.1)