安全分析报告:
安全分数
安全分数 16/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
1
用户/设备跟踪器
调研结果
高危
47
中危
16
信息
2
安全
2
关注
18
高危 应用程序容易受到 Janus 漏洞的影响
应用程序使用 v1 签名方案进行签名,如果仅使用 v1 签名方案进行签名,则在 Android 5.0-8.0 上容易受到 Janus 漏洞的影响。在使用 v1 和 v2/v3 方案签名的 Android 5.0-7.0 上运行的应用程序也容易受到攻击。
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.cyjh.elfin.ui.activity.SplashActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.SplashActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.SplashActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (26) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.ElfinFreeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.ElfinFreeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeZbarActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.SweepCodeZbarActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.elfin.ui.activity.UnbindRegistrationCodeActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.elfin.ui.activity.UnbindRegistrationCodeActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.cyjh.root.ui.activity.SelectApplicationListActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.cyjh.root.ui.activity.SelectApplicationListActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.elfin.ad.activity.FullScreenTwoAdActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.elfin.ad.activity.FullScreenTwoAdActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$1) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$1) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$2) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$2) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$3) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$3) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$4) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$4) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$5) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$5) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$6) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$6) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$7) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$7) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.C$8) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.C$8) 容易受到 Android Task Hijacking/StrandHogg 的攻击。
活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (26) 更新到 28 或更高版本以在平台级别修复此问题。
高危 Activity (com.didi.virtualapk.core.D$1) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$2) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$3) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$4) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$5) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$6) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$7) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.didi.virtualapk.core.D$8) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/iflytek/collector/a/a/a.java, line(s) 23 com/iflytek/voiceads/utils/d.java, line(s) 52
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/c/d/h.java, line(s) 119,8,9 com/cyjh/elfin/ui/fragment/MsgDetailFragment.java, line(s) 45,59,7 com/iflytek/voiceads/view/AdView.java, line(s) 112,16
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/iflytek/voiceads/bridge/l.java, line(s) 59,57 com/iflytek/voiceads/f/b.java, line(s) 64,62
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: com/lidroid/xutils/http/client/DefaultSSLSocketFactory.java, line(s) 50,13,14,15 com/lidroid/xutils/util/OtherUtils.java, line(s) 168,168,12,13,14,15,16
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/goldcoast/sdk/c/a.java, line(s) 14,39 mobi/oneway/export/g/a.java, line(s) 35
高危 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/cyjh/common/util/h.java, line(s) 26,39,66,73,80
中危 应用程序数据可以被备份
[android:allowBackup=true] 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Service (com.cyjh.elfin.floatingwindowprocess.service.FloatingWindowService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.cyjh.elfin.broadcast.BootBroadcast) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.ime.input.InputKb) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_INPUT_METHOD [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Content Provider (com.core.util.share.SharedPreferenceProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/c/d/a.java, line(s) 653 com/cyjh/common/util/e.java, line(s) 43,277,364,377,395,413,418,439,443 com/cyjh/common/util/f.java, line(s) 72,76,184 com/cyjh/common/util/k.java, line(s) 23,43 com/cyjh/common/util/n.java, line(s) 60,353 com/cyjh/common/util/o.java, line(s) 97 com/cyjh/common/util/t.java, line(s) 72,84 com/cyjh/common/util/y.java, line(s) 17,47 com/cyjh/elfin/a/b.java, line(s) 108,120 com/cyjh/elfin/base/AppContext.java, line(s) 120 com/cyjh/elfin/base/a.java, line(s) 77,78,141,142 com/cyjh/elfin/e/c/d.java, line(s) 63,67,133 com/cyjh/elfin/ui/a/h.java, line(s) 271 com/cyjh/elfin/ui/activity/ElfinFreeActivity.java, line(s) 293,403,578 com/cyjh/event/Injector.java, line(s) 226,325,437,494 com/cyjh/feedback/lib/fragment/ImageSelectFragment.java, line(s) 220,276 com/cyjh/http/e/a.java, line(s) 153,471 com/cyjh/mobileanjian/ipc/a/b.java, line(s) 303,307 com/cyjh/mobileanjian/ipc/log/b.java, line(s) 19 com/cyjh/mobileanjian/ipc/uip/UipHelper.java, line(s) 48 com/cyjh/mobileanjian/ipc/utils/f.java, line(s) 17 com/cyjh/mq/c/d.java, line(s) 292,882 com/cyjh/mq/d/a.java, line(s) 16 com/cyjh/mq/d/c.java, line(s) 57,70 com/cyjh/mq/service/IpcService.java, line(s) 185 com/hlzn/socketclient/f/e.java, line(s) 21,30 com/iflytek/voiceads/download/c.java, line(s) 10 com/iflytek/voiceads/param/e.java, line(s) 364,393 com/iflytek/voiceads/utils/f.java, line(s) 76 com/iflytek/voiceads/utils/n.java, line(s) 11 com/lidroid/xutils/util/OtherUtils.java, line(s) 80 com/zbar/a/b/b.java, line(s) 55,125 mobi/oneway/export/g/h.java, line(s) 86 org/litepal/f.java, line(s) 205 org/litepal/f/c.java, line(s) 54,121,56,123
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/cyjh/http/bean/NotifyMsgBean.java, line(s) 51 com/cyjh/http/bean/request/EditProjectNumberRequestInfo.java, line(s) 88 com/cyjh/http/bean/response/ScriptStartRunInfo.java, line(s) 43 com/cyjh/http/bean/response/VersionUpdateInfo.java, line(s) 61 com/cyjh/mq/sdk/entity/Script4Run.java, line(s) 279,279 net/grandcentrix/tray/core/SharedPreferencesImport.java, line(s) 63 net/grandcentrix/tray/provider/TrayContract.java, line(s) 28,29 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 15,16
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/cyjh/elfin/b/a.java, line(s) 4,5,20 com/iflytek/voiceads/download/c/b.java, line(s) 5,64 com/iflytek/voiceads/download/c/c.java, line(s) 4,5,17 com/lidroid/xutils/DbUtils.java, line(s) 5,447,456 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 4,5,44,56,57 org/litepal/f.java, line(s) 6,351 org/litepal/f/a.java, line(s) 5,95 org/litepal/f/f.java, line(s) 4,43 org/litepal/g/c.java, line(s) 4,109,110,183,184,288,289,63,122,223
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: b/a/k/a.java, line(s) 24 b/a/k/d.java, line(s) 8 b/z.java, line(s) 23 com/cyjh/elfin/ui/model/ElfinModel.java, line(s) 35 com/cyjh/http/b/a.java, line(s) 15 com/elfin/ad/e/a.java, line(s) 14 com/lidroid/xutils/http/client/multipart/MultipartEntity.java, line(s) 11
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/c/d/a.java, line(s) 494 com/cyjh/common/util/n.java, line(s) 377 com/cyjh/common/util/u.java, line(s) 14 com/cyjh/mobileanjian/ipc/log/b.java, line(s) 82 com/goldcoast/sdk/domain/EntryPoint.java, line(s) 905 com/iflytek/voiceads/utils/d.java, line(s) 20 com/lidroid/xutils/cache/MD5FileNameGenerator.java, line(s) 22 com/sun/mail/pop3/Protocol.java, line(s) 80 com/sun/mail/smtp/DigestMD5.java, line(s) 87 org/litepal/g/a/b.java, line(s) 52
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/iflytek/voiceads/utils/m.java, line(s) 20 org/junit/d/j.java, line(s) 19,97
中危 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/iflytek/voiceads/view/AdView.java, line(s) 210,203
中危 IP地址泄露
IP地址泄露 Files: com/cyjh/common/util/f.java, line(s) 94,102 com/cyjh/elfin/e/c/d.java, line(s) 140,148 com/cyjh/elfin/e/c/e.java, line(s) 122,162 com/elfin/ad/e/e.java, line(s) 40 mobi/oneway/export/a/a.java, line(s) 11,12
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/iflytek/voiceads/bridge/DSBridgeWebView.java, line(s) 217,209
中危 应用程序包含隐私跟踪程序
此应用程序有多个1隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 友盟统计的=> "UMENG_APPKEY" : "579ad79de0f55a8b3c001633" "tray__authority" : "legacyTrayAuthority" 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 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDVycsnsCAQN9axiAkUP3xJU/79KLrS2NyIIRbHeBkGpeRbKJgliF7D2DUyfmFzyChoDxHCU0BcFoBIipU9TjQBlbjaEsN0dY38AFxBDukkKpkgVsQp1QgDhXfcavuqxOxSE4mKGpfJc34UzOM8n6IigSfEpHSat0nswGGESTjPFQIDAQAB DFEE16B42C8B2890D8FF2860AF5562B1 F4F04588C1076DA9017964B229D657DA nmOYRYZP042vWRcKZ6iQLdLYmyg6tIzjYVfH0f6YX8OLIU7fy0TA/c88rzwIDAQAB 5FF8BF855D9553F32AA0CD1DB70FEDC6 5e1f6df6cc024c80b7e8b86dc670c100 761D5F3C12409F07DCE571A8AA3C0480 258EAFA5-E914-47DA-95CA-C5AB0DC85B11 LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0KTUlHZk1BMEdDU3FHU0liM0RRRUJBUVVBQTRHTkFEQ0JpUUtCZ1FEVnljc25zQ0FRTjlheGlBa1VQM3hKVS83OQpLTHJTMk55SUlSYkhlQmtHcGVSYktKZ2xpRjdEMkRVeWZtRnp5Q2hvRHhIQ1UwQmNGb0JJaXBVOVRqUUJsYmphCkVzTjBkWTM4QUZ4QkR1a2tLcGtnVnNRcDFRZ0RoWGZjYXZ1cXhPeFNFNG1LR3BmSmMzNFV6T004bjZJaWdTZkUKcEhTYXQwbnN3R0dFU1RqUEZRSURBUUFCCi0tLS0tRU5EIFBVQkxJQyBLRVktLS0tLQo= A9DDDF2A4F7D94594EC2EA98407A410E1 3CCD2FB15632CD8044CD37D46DE41E3C MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCt8H0BF3SquJmk6xIo2bTldgvtazLIeSbR4cle 94CCB814573108BFBD19D8E2BB45AEE0 21462E427898ADCCC2171718D603B0DE 2FABB9840C76199A1E170A7C19698595 579ad79de0f55a8b3c001633 410D8AC18806EDFE511A00EFD3329F20 66ecc5ef7d354b75bbd7a99d5e72a544 9312C6DA2448C84DB3C4FE8F66E2B394 BA2159EDE8B5B1B06F70D35A9630B683
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/c/a/c.java, line(s) 178 com/c/d/a.java, line(s) 421,426,455,605 com/cyjh/common/util/a.java, line(s) 203,212,293,397,417,421,427,429,433,436,544,549 com/cyjh/common/util/ad.java, line(s) 13,20,27,40,32 com/cyjh/common/util/e.java, line(s) 166,199 com/cyjh/common/util/j.java, line(s) 38,60,73,85,101 com/cyjh/common/util/toast/a.java, line(s) 567,580,616 com/cyjh/common/util/toast/c.java, line(s) 220,234,282 com/cyjh/common/util/toast/g.java, line(s) 235,293,175 com/cyjh/common/util/toast/h.java, line(s) 42,76 com/cyjh/common/util/toast/j.java, line(s) 50,52,63 com/cyjh/common/util/toast/o.java, line(s) 87,92,406,439,545,684,273,447 com/cyjh/common/util/toast/q.java, line(s) 88,82 com/cyjh/common/util/toast/r.java, line(s) 229,271,280,348,292,364 com/cyjh/common/util/v.java, line(s) 114,115 com/cyjh/elfin/base/AppContext.java, line(s) 64,164,203 com/cyjh/elfin/broadcast/BootBroadcast.java, line(s) 18,21 com/cyjh/elfin/e/a/a.java, line(s) 48,86,95,100,174,213,361,389,392 com/cyjh/elfin/e/a/b.java, line(s) 21,27,62,71,76 com/cyjh/elfin/e/a/c.java, line(s) 18,24,44,47 com/cyjh/elfin/e/a/d.java, line(s) 24,25,33,39,114,125,137,149,169 com/cyjh/elfin/e/a/e.java, line(s) 19,25 com/cyjh/elfin/e/a/f.java, line(s) 18,24,52 com/cyjh/elfin/e/a/g.java, line(s) 58 com/cyjh/elfin/e/c/a.java, line(s) 244,253,327,402,509,514,548,552,558,560,564,567 com/cyjh/elfin/e/c/m.java, line(s) 32,39,74,81,46,53,14,21,60,67 com/cyjh/elfin/e/c/q.java, line(s) 87,92,389,422,524,663,263,430 com/cyjh/elfin/entity/ParamsWrap.java, line(s) 78 com/cyjh/elfin/floatingwindowprocess/a/d.java, line(s) 339,340,341 com/cyjh/elfin/floatingwindowprocess/d/b.java, line(s) 282,485,147,513,603,298,772 com/cyjh/elfin/floatingwindowprocess/service/a.java, line(s) 34 com/cyjh/elfin/services/PhoneStateService.java, line(s) 33,34,39,42,44 com/cyjh/elfin/services/TimerService.java, line(s) 39,45,52,54,60,81 com/cyjh/elfin/services/a.java, line(s) 36,63 com/cyjh/elfin/sweepcode/a.java, line(s) 53,54,56,57,102,114,121,83 com/cyjh/elfin/sweepcode/b.java, line(s) 78,80 com/cyjh/elfin/ui/activity/ScriptLogActivity.java, line(s) 97,98,99,130,131,132,147,148,149,240,241,242 com/cyjh/elfin/ui/activity/SettingActivity.java, line(s) 422,423,424 com/cyjh/elfin/ui/activity/SplashActivity.java, line(s) 79 com/cyjh/elfin/ui/activity/SweepCodeActivity.java, line(s) 83,85,272,274 com/cyjh/elfin/ui/activity/SweepCodeZbarActivity.java, line(s) 111,113,235,237,136,182 com/cyjh/elfin/ui/adpter/a.java, line(s) 104 com/cyjh/elfin/ui/fragment/DescriptionFragment.java, line(s) 63 com/cyjh/elfin/ui/model/ElfinModel.java, line(s) 139,145,147,414 com/cyjh/elfin/ui/model/RegCodeModel.java, line(s) 62 com/cyjh/elfin/ui/model/SplashModel.java, line(s) 504 com/cyjh/event/Injector.java, line(s) 251,296,331,334,337,340,362,425,467,626,666,712,851,1056,1058,880,2836 com/cyjh/event/accessibility/Cservice.java, line(s) 404 com/cyjh/feedback/lib/activity/ImageSelectActivity.java, line(s) 61 com/cyjh/feedback/lib/b/b.java, line(s) 214 com/cyjh/http/c/a/a.java, line(s) 22 com/cyjh/http/c/c/b.java, line(s) 34,63 com/cyjh/http/c/c/c.java, line(s) 96,66,69,70,73,84,110,127 com/cyjh/http/c/c/d.java, line(s) 65,109,118 com/cyjh/http/c/c/e.java, line(s) 49 com/cyjh/http/c/c/i.java, line(s) 24,33,42 com/cyjh/http/c/c/k.java, line(s) 26,42,48 com/cyjh/http/c/c/l.java, line(s) 35,49,55 com/cyjh/http/c/c/m.java, line(s) 32,36,39,48,73,79 com/cyjh/http/c/c/n.java, line(s) 45 com/cyjh/http/c/c/o.java, line(s) 36,61 com/cyjh/http/c/c/p.java, line(s) 22,49 com/cyjh/http/d/b/a.java, line(s) 56 com/cyjh/http/d/b/c.java, line(s) 40,51,65,84 com/cyjh/http/e/a.java, line(s) 226,461,464 com/cyjh/http/oss/MyOSSUtils.java, line(s) 120,125,126,127,128 com/cyjh/mobileanjian/ipc/rpc/AndroidHelper.java, line(s) 189,200,217 com/cyjh/mobileanjian/ipc/stuff/AnalyseResultWrapper.java, line(s) 22 com/cyjh/mobileanjian/ipc/utils/d.java, line(s) 29 com/cyjh/mobileanjian/screencap/ForScreenShotActivity.java, line(s) 21 com/cyjh/mq/c/b.java, line(s) 342,348,355,598,614,696 com/cyjh/mq/c/d.java, line(s) 114,134,138,800,961,460,476,546,707,723,784,944 com/cyjh/mq/d/c.java, line(s) 36,50,80,86,102 com/cyjh/mq/sdk/a.java, line(s) 183,227 com/cyjh/mq/service/IpcService.java, line(s) 249 com/didi/virtualapk/PluginManager.java, line(s) 85,196,220,236,249,80,225,238,252 com/didi/virtualapk/delegate/ActivityManagerProxy.java, line(s) 130,89 com/didi/virtualapk/delegate/IContentProviderProxy.java, line(s) 79 com/didi/virtualapk/delegate/RemoteContentProvider.java, line(s) 108,143,49,65 com/didi/virtualapk/delegate/RemoteService.java, line(s) 29 com/didi/virtualapk/internal/ComponentsHandler.java, line(s) 44 com/didi/virtualapk/internal/ResourcesManager.java, line(s) 198,244 com/didi/virtualapk/internal/StubActivityInfo.java, line(s) 38 com/didi/virtualapk/internal/VAInstrumentation.java, line(s) 108,145,168,173,185,112,137 com/didi/virtualapk/internal/utils/PluginUtil.java, line(s) 50,58,74,77,100,116,121,125,128,140,202 com/didi/virtualapk/utils/RunUtil.java, line(s) 65,93 com/didi/virtualapk/utils/ZipVerifyUtil.java, line(s) 95,105 com/elf/studio/c/a.java, line(s) 55,78,84 com/elfin/ad/e/b.java, line(s) 114,187,271,286,370,409,493,545,575,598,619,703,775,781,802 com/elfin/ad/e/e.java, line(s) 56,72,122,184,357,444,525,96,250 com/elfin/engin/b.java, line(s) 43 com/elfin/engin/b/a.java, line(s) 10 com/elfin/engin/b/b.java, line(s) 47,388,390 com/elfin/engin/b/c.java, line(s) 27 com/elfin/engin/c.java, line(s) 232 com/elfin/engin/d.java, line(s) 19,70,83 com/goldcoast/sdk/c/g.java, line(s) 33 com/goldcoast/sdk/domain/EntryPoint.java, line(s) 501,836 com/hlzn/socketclient/f/d.java, line(s) 27,13,20,34,41 com/iflytek/voiceads/config/SDKLogger.java, line(s) 10,16,22,28 com/iflytek/voiceads/utils/g.java, line(s) 11,21 com/ime/input/InputKb.java, line(s) 21,33 com/lidroid/xutils/util/LogUtils.java, line(s) 55,66,77,88,108,119,130,141,152,163,174,185,196,207 com/sun/activation/registries/LogSupport.java, line(s) 28,35 com/sun/mail/dsn/DeliveryStatus.java, line(s) 34,41,46,51 com/sun/mail/imap/protocol/BODYSTRUCTURE.java, line(s) 44,48,56,69,73,79,84,92,96,103,110,117,128,135,145,149,154,162,166,170,174,178,186,197,211,219,228,232,242,248,256,263,271,298,307,314 com/zbar/a/a/b.java, line(s) 153,164,210,221 com/zbar/a/a/c.java, line(s) 185,187,110,121 com/zbar/a/a/d.java, line(s) 34,46,64,72,78,89 junit/runner/Version.java, line(s) 12 junit/runner/a.java, line(s) 67 junit/textui/TestRunner.java, line(s) 69,128,147 mobi/oneway/common/service/OwFrontService.java, line(s) 28 mobi/oneway/export/g/m.java, line(s) 70,75,118,94,64,84,114 net/grandcentrix/tray/core/AbstractTrayPreference.java, line(s) 20 net/grandcentrix/tray/core/Preferences.java, line(s) 41,44,47,55,66,112,120,141,150,159,168,177,186,197,115 net/grandcentrix/tray/core/SharedPreferencesImport.java, line(s) 48,58,44 net/grandcentrix/tray/core/TrayLog.java, line(s) 17,24,28,6,34,42,50,57,61 net/grandcentrix/tray/provider/ContentProviderStorage.java, line(s) 99,97 net/grandcentrix/tray/provider/TrayContentProvider.java, line(s) 41,92 net/grandcentrix/tray/provider/TrayContract.java, line(s) 43,73 net/grandcentrix/tray/provider/TrayDBHelper.java, line(s) 62,64,72,80 org/greenrobot/eventbus/b.java, line(s) 40 org/greenrobot/eventbus/c.java, line(s) 162,513,227,236,238,340,349,351,460 org/greenrobot/eventbus/util/ErrorDialogManager.java, line(s) 157 org/greenrobot/eventbus/util/b.java, line(s) 28 org/greenrobot/eventbus/util/c.java, line(s) 67,91 org/greenrobot/eventbus/util/d.java, line(s) 56 org/litepal/b/j.java, line(s) 109 org/litepal/g/a/a.java, line(s) 68,113,39,97 org/litepal/g/d.java, line(s) 18,12
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/cyjh/event/accessibility/Cservice.java, line(s) 6,259 com/cyjh/mobileanjian/ipc/rpc/AndroidHelper.java, line(s) 8,242
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: b/z.java, line(s) 604,593,603,602,602 com/b/a/ai.java, line(s) 117,106,116,115,115 com/github/kevinsawicki/http/HttpRequest.java, line(s) 605,1582 com/iflytek/voiceads/request/a.java, line(s) 189,182
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/cyjh/common/util/f.java, line(s) 269,269,272,272 com/cyjh/common/util/j.java, line(s) 68,99 com/cyjh/feedback/lib/e/e.java, line(s) 152,153 com/iflytek/voiceads/param/e.java, line(s) 51,51,51,51,51,51
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api-cn.felink.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '福建', 'city': '厦门', 'latitude': '24.479790', 'longitude': '118.081871'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (www.taobao.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.51moba.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (log.iflytek.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': '合肥', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (logconf.iflytek.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '安徽', 'city': 'k Creek\x0eSharkowshchyna\x07Sharlyk\x0fSharm el-Sheikh\tSharnford\x06Sharon\x0eSharon Springs\x0bSharonville\x07Sharpes\x08Sharqpur\x0bSharri', 'latitude': '31.863815', 'longitude': '117.280830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (res2.mobileanjian.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '徐州', 'latitude': '34.266666', 'longitude': '117.166664'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (owads.audioadx.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (owtk.audioadx.com) 通信。
{'ip': '106.14.219.131', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api4.mobileanjian.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (mt.voiceads.cn) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app.mobileanjian.com) 通信。
{'ip': '47.101.35.178', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (tl.oneway.mobi) 通信。
{'ip': '101.126.88.174', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (imp.voiceads.cn) 通信。
{'ip': '114.118.64.21', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (api.voiceads.cn) 通信。
{'ip': '114.118.64.21', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (down.nishuoa.com) 通信。
{'ip': '175.12.102.186', 'country_short': 'CN', 'country_long': '中国', 'region': '湖南', 'city': '吉首', 'latitude': '28.316669', 'longitude': '109.716667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (auth2.mobileanjian.com) 通信。
{'ip': '8.153.66.0', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。
{'ip': '180.97.228.182', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '苏州', 'latitude': '31.311365', 'longitude': '120.617691'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ads.oneway.mobi) 通信。
{'ip': '47.98.52.71', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '杭州', 'latitude': '30.293650', 'longitude': '120.161583'}