安全分析报告:
安全分数
安全分数 47/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
7
用户/设备跟踪器
调研结果
高危
5
中危
81
信息
2
安全
1
关注
0
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/amazon/aps/ads/util/adview/ApsAdViewFetchUtils.java, line(s) 89,134,6 com/mobilefuse/sdk/mraid/MraidAdRenderer.java, line(s) 1071,21,22 com/tappx/a/p5.java, line(s) 107,9,10 com/tappx/a/w3.java, line(s) 356,10
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/inmobi/choice/core/model/WebContentUrl.java, line(s) 42,36,37,38,39,40,41,42,43
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: com/inmobi/media/v3.java, line(s) 19 com/inmobi/media/w2.java, line(s) 179
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/tappx/a/x0.java, line(s) 24,27
高危 应用程序包含隐私跟踪程序
此应用程序有多个7隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 基本配置配置为信任系统证书。
Scope: *
中危 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 7.0, [minSdk=24] 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
中危 应用程序数据存在被泄露的风险
未设置[android:allowBackup]标志 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
中危 Content Provider (com.p1.chompsms.provider.ThemeProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.MainActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.Conversation) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.ChangeLog) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.FeaturesHelp) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.conversation.gallery.GalleryActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.conversation.partgallery.PartGallery) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.search.SearchMessagesActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.SendError) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.quickreply.QuickReply) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.QuickCompose) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.Settings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.Support) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.UserVoiceContactUs) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.CustomizeConversation) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.CustomizeConversationList) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.CustomizeQuickReply) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.SaveToSDCard) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.About) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.MessageStats) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.WebViewActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.SmsSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.MmsSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.SmsDualSimSettingsActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.ThemeSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.morethemes.GetMoreThemesActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.previewremotetheme.PreviewRemoteThemeActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.CustomizeTheme) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.ContactPicsSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.themesettings.preview.PreviewTheme) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.p1.chompsms.activities.themesettings.preview.PreviewTheme) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.MissingFonts) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.QuickComposeSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.QuickReplySettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.QuickReplyButtonsSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.QuickComposeButtonSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.NotificationsSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.RepeatNotificationSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.DuringPhoneCallSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.InConversationScreen) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.WhileListeningToMusicSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.SecurityAndBlocklisting) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.BackupRestorePreferences) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.ChooseLockPattern) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.ConfirmLockPattern) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.EyeCandySettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.KeyboardSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.TemplatesSettings) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.pickcontacts.PickContactsActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.DonateScreen) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.billing.UpgradedToProActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.StartLock) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.RingtonePicker) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.p1.chompsms.activities.Class0Activity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Broadcast Receiver (com.p1.chompsms.sms.PriviledgedSmsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_SMS [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.p1.chompsms.mms.WapPushReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BROADCAST_WAP_PUSH [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.p1.chompsms.system.BootReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.p1.chompsms.system.LocaleChangeListener) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.p1.chompsms.sms.PhoneStateListener) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.p1.chompsms.sms.ConnectivityListener) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.p1.chompsms.system.CameraButtonReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Broadcast Receiver (com.p1.chompsms.appwidget.IconWidgetProvider) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (com.p1.chompsms.system.pushbullet.PushBulletService) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.pushbullet.android.permission.READ_MESSAGING_EXTENSION_DATA [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.mariussoft.endlessjabber.sdk.EndlessJabberReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Activity (com.canhub.cropper.CropImageActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 高优先级的Intent (255)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: c5/k.java, line(s) 125 com/amazon/device/ads/DtbDeviceData.java, line(s) 75 com/tappx/a/l2.java, line(s) 9 h2/e.java, line(s) 111 i8/e.java, line(s) 36 r4/j.java, line(s) 439 wb/b.java, line(s) 13
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/amazon/aps/shared/APSAnalytics.java, line(s) 13 com/amazon/aps/shared/ApsMetrics.java, line(s) 21 com/inmobi/media/d2.java, line(s) 5 com/inmobi/media/d9.java, line(s) 11 com/inmobi/media/e.java, line(s) 11 com/inmobi/media/q8.java, line(s) 30 com/inmobi/media/x0.java, line(s) 30 com/smaato/sdk/core/errorreport/Report.java, line(s) 11 com/smaato/sdk/video/utils/RandomUtils.java, line(s) 3 com/tappx/a/s.java, line(s) 8 com/tappx/a/w5.java, line(s) 3 f9/a.java, line(s) 3 f9/b.java, line(s) 3 g9/a.java, line(s) 3 m3/c.java, line(s) 10 q5/a.java, line(s) 17 r4/j.java, line(s) 48 sb/a.java, line(s) 7 v5/g.java, line(s) 3
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: c0/g.java, line(s) 7,310 com/inmobi/media/i3.java, line(s) 6,95 com/smaato/sdk/core/kpi/KpiDBHelper.java, line(s) 6,7,48 e3/a.java, line(s) 9,176 f3/c.java, line(s) 7,68 f3/h.java, line(s) 4,23 f3/i.java, line(s) 6,7,104 g3/e.java, line(s) 4,32 g3/h.java, line(s) 4,20 g3/n.java, line(s) 4,5,66 h2/p.java, line(s) 6,48 n1/c.java, line(s) 5,6,70 t5/a.java, line(s) 5,6,22
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/amazon/aps/ads/ApsConstants.java, line(s) 9 com/amazon/aps/shared/APSAnalytics.java, line(s) 18 com/amazon/aps/shared/ApsMetrics.java, line(s) 41 com/amazon/device/ads/DTBAdInterstitial.java, line(s) 16 com/amazon/device/ads/DTBAdLoader.java, line(s) 3,4,6,5,7 com/amazon/device/ads/DTBAdRequest.java, line(s) 49 com/amazon/device/ads/DTBMetricsConfiguration.java, line(s) 19,20,21 com/amazon/device/ads/DtbConstants.java, line(s) 63,8,14,10,11,12,13,66,67 com/amazon/device/ads/DtbDeviceData.java, line(s) 24,25,26,27,28,29,30,31,32,33,34,35,36 com/amazon/device/ads/DtbDeviceRegistration.java, line(s) 27,28,29,30,31 com/inmobi/choice/core/model/tracking/Tracking.java, line(s) 30 com/inmobi/commons/core/configs/AdConfig.java, line(s) 411 com/inmobi/media/j0.java, line(s) 15 com/inmobi/unification/sdk/model/Initialization/TimeoutConfigurations.java, line(s) 67,52 com/mobilefuse/sdk/MobileFuseDefaults.java, line(s) 11 com/mobilefuse/sdk/telemetry/implementations/SentryService.java, line(s) 28 com/smaato/sdk/core/mvvm/model/imagead/Extension.java, line(s) 10,13,14,11,12 com/smaato/sdk/core/mvvm/model/imagead/ImageAdResponseParser.java, line(s) 19,21,20,22,27,23,26,28,24,25 com/tappx/sdk/android/VideoAdActivity.java, line(s) 15 h2/d.java, line(s) 29 m/a.java, line(s) 10 m7/d.java, line(s) 73
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: bin/mt/signature/KillerApplication.java, line(s) 80 com/inmobi/media/l3.java, line(s) 51,54,108,111 com/p1/chompsms/ChompBackupAgent.java, line(s) 26 com/p1/chompsms/adverts/AdDebugLogProvider.java, line(s) 30 com/p1/chompsms/provider/ChompProvider.java, line(s) 368,601 com/p1/chompsms/util/i0.java, line(s) 44,35,68,70 com/p1/chompsms/util/n.java, line(s) 48 com/p1/chompsms/views/Message.java, line(s) 949,975 com/tappx/a/f4.java, line(s) 112 com/tappx/a/l1.java, line(s) 30 f6/e.java, line(s) 544,554,665,81 q5/a.java, line(s) 110 q5/d.java, line(s) 923 r2/k.java, line(s) 537 r4/j.java, line(s) 78,80 x5/f0.java, line(s) 89
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/inmobi/choice/core/util/StringUtilsKt.java, line(s) 32 com/p1/chompsms/ChompSms.java, line(s) 167 com/p1/chompsms/util/k2.java, line(s) 23 com/p1/chompsms/util/y0.java, line(s) 1845 m2/d.java, line(s) 107 r4/j.java, line(s) 468,648,847 x5/s.java, line(s) 61
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/amazon/device/ads/DTBMetricsConfiguration.java, line(s) 213 com/amazon/device/ads/WebResourceService.java, line(s) 110 com/canhub/cropper/CropImageActivity.java, line(s) 350,518 com/p1/chompsms/util/BitmapUtil.java, line(s) 426 com/p1/chompsms/util/ExifUtil.java, line(s) 76,82 com/p1/chompsms/util/g0.java, line(s) 131 f1/d.java, line(s) 76 f6/e.java, line(s) 1318 r2/k.java, line(s) 537,542,547 r2/v.java, line(s) 20
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/inmobi/media/la.java, line(s) 1051,1017
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 "uv_password" : "Пароль" "uv_password" : "Wachtwoord" "uv_password" : "Password" "uv_password" : "密碼" "uv_password" : "Senha" "author_label" : "作者:%1$s" "uv_password" : "Heslo" "uv_password" : "Passwort" "uv_password" : "Lozinka" e9026ffd475a1a3691e6b2ce637a9b92aab1073ebf53a67c5f2583be8a804ecb wUWo9wuOBqc42QHm8/JVjGXXMTT2DoYHEa3wguYezUW0KEhBaolGwT3KPMo6Sz+d nXTI8LgdN3kqqFhdlimEQTGYYGJ0uOXbDwm57LJEmUVBWzTwBRqdCXBseJzK38SpzNYRmYwyOT6Et neenfZCGzvDI4xsmLfZwbmWAqkSSvakVqyv76Wj73+CEe2dOD0257f8m4BV03mJmd49XzffzuvT6G vowRFCKLTs9aEktGgLPt1r38zreZaMrbDBiCU39LXJU ntiJLEhZRRNE1cqpGvKAQz+SYi6eIxOKEEklSK1a5sihQX+nhcPdWPrqzmx3tzZvOJ9bCPbmJNJ9I nlS0ojIYjJWkNq2E4HCGdXz3MtTXW4nGVT4ZhGCRzeUbmY0vPZFHA63FR4XaWZGNdMuqqffhdDuTF nRqeVqK/24asqnwxBFO7YY9F1A13fOPGCDcgQRaGo46a5YLzck1N5RWEqmSKRL9xRZpNE6gNb8Fa4 VVPuWC/9Kuu7F3i2uDo+EpXhKnuxQFx794EdWq4sqJx9G87i++pCpDIUbWEx83NA ndSajcwxMzhS1vbW+dk1heTVsGIC721poqvZza22WVxXe6B8kHEuglqAiAYiCiEO2YhXFNfO13lCE nZ2xyKXTaJYndTXV8+vA+Htn3kZJ0thuTM1wYuMnwVIj5RJKsoqDpOnZZprkmwIHtnRzY3knAW7l6 wA68d1p5v8MSlvKrjle67r38zreZaMrbDBiCU39LXJU nRRGLKCJqOlNzMbKKigFkFIVELoddEOhpbUQUN3aogiCISkFRLJIl+MLP/rO3pGlimibRWIKz14d4 eyFzz60JGoytbhh8ElUiyz2Yt6DBc3WN pbvRRAWIkE2ZQhgyx14rGevod4pc6oj936XUTnVUJiZOGWOWonnwEJo6ZHkVx/gj nJgVV5fy1IX7+xjkuTIeKykXAIkl4bDLba/x86tBDNAV8yFbr0jt2m0xHQw176gKcm9BIKwqYIIoi nVwcZnU+gGgs+SAB8Npmn9+3k8d09tNYF8Dgd2GTrmg01TXNhuqUy5BQF0zSRrVbcDntR5LkFwzAY a5c71f6aff54eb34c826d952c285eaf0650b4259c83ae598962681a6429b63f6 5181942b9ebc31ce68dacb56c16fd79f hxsTS1PgJe7SvMvbIVXAlWNuK93hkAa0eyf9OlSh3dE nYhrfhSu4HXZ2dLRsaMdht9HZVE9rfQ2KoqLpBlaLBVm2bOp8hWmaGIbBy2cv8Ob1IYK3lHsBfC4H n0lnODI4QzxdQTZPpRJoXTpzkrz/3SeqrfXeE5ZWw2W3u2vqajqN793pK8hkjU2Eu3BhnMpVZemaX njDOrqAxG50jn8psixDAMcoUC44kUGfVOYcciCDTU+HA6yp8myUyWyeg8c8ucc63bhd/lxGopbRNg nroSiSyOiwiZzoK2JZ488xEcP7MZqsSCKa3OcKyjMxhJMhaNMhqJMhCJMhqOEZmNksjlEUcS+zrQS GR8QbFbIwPD6k5hAnMxS6Za9cNsNHXXZzG7GWfNC YZZwHqPzK+iXOZdPmstFuKdACjUycywvmZgbZoLTMKXSBOsvwTWkbsOEsgNWJ/CHmxWca6QOdHjjxLzZf0FrBA fhrgFfJqgVZoVNjzyS7CzU1i9AA4GyPqlAJ20RCAJlg nV8WWCnfZYotpmkQSSSLJ1Yev31tFXcC3abt+bwXtDdU4l0mEk4kU0XSmZHF5XTImg1EyucLSb6cs nLLZ8hYKbSEKzUbM0u+Pir24N5Oaw+Lx+MoBG+cviQs nkAwTMAzTNAxd1zRNy5mGmTVNIyuIYto0jHg8npjuu9R7/tLF9868+NJLI729vVkWSNHuR5seGBkb n2z0/NQz36Y5aIpWhd+AmF4ZGuBYME05nyRcUFFVF1Q0UQ2c1fqyigFVcOMJol604bTY6vB52t7Vw ngZKIKAeiKOKwydS4HEiLoy2RL3B+ZILXLvczE50v2Zbdbve6XO6Or33xK82wiXRcUVWGJoK88NoZ nTqe3ra3tc48eOxZufPHF+ampqdytwrsiwzRNEukM/WPTvHV1iJcvXiZWUIs6JgJO2UqgsoJKtxOL 1HPYA2lkbaNURYCXsP4iRrPA2bcLu2GoZBfTi2x2iws VbMgRD4jVg4hNau0Ow7yWHX5dBZylyqDyPIjra0JMrA n53ZRU1GxatlasNtkWqt9dC0bbQYwPBkkMh/f8HtRFC2VlZX+dckoKCpjczHmMlkAJEHA63Swr6dz nbqPSLtNU7d9UOp4vKJx4t5fLoxNLO3yyJLG7NkB3cz2uTWq0JcWcSreTne1NPNzdyUuXrgELTq93 n1VS5VETm42s20lfpodZXSi5ajLqAj+1tzUVRbSwcYTaR3FACEARBkmV5/WgSno8TyWSXpojTaqHL nDd2sIAh0NtfzUKSVizdHiSzqG7PZPK9duEqgwsPBHetvF9wqa2+o4ctPPcZj+3cxn86iqho2m4zL neJztm1lsXNd5x3/33pk7O8nRzHDfSYkUFa3WanmLo9hpUCR29rhNAzQBugBFkIegAYICzkPTAH1I 1YOY5Rt0XsvTgffyYERBs4OZnMp++K/Jm0S7KmQTqYs ftLVnAFo4UVdmS7TEXHP3z1+tuYsCsVdhGwkH7sMMCI nXeU0TBPTMDExEQRhUwu1+4UP7b3WcvCBub34QcAfyViGP5KxDH8kYxn+H64VntjA5IdUAAAAAElF nBwCvx82XPvE4yVyOE30DRFIZDGBmLs5v3r3Ega4OWhtqShqdsmyr79m18+PAT0siQ9U0ro9N8fvz 24b4a64987c44acda8bf1f536d1a6ae8 0SvrL3Mu6kpegPQCJvH2Z3Pn/6HNDFPvXWhwtIQHwo9OKbwcnbuQeVUXYNnm0mlw 7qjY7245E0dfSy30XptPQ6Kjsb63PLX1qtOqZ64iM50 nWmhp2NyBmLvBfSfDME1UVUPVNDR94XiSZty+gmUYOharBZtl4Ti1RRSwiBJWqwXr4gmeu40SpeKB Rfk0iXqG1NksAriLhvTIFrKC3X10rpfR3hyZYQqfkTdNYvQAOBsj6pQCdtEQgCZY d79bfac645e9a792d4d5f17bb1ce637e nmmbv67/97fm3Xn217ycvvZRlYaTc9TT6gyHjFgzD0HK5XGjkxo1XRav11Nk337z0ysmT4y+++GIS nsdpuk2moCSAK5e8whKIxZhNptFWGboPHRa3bibWMUScIAg6blTpvMZHxVIZYCU4UNiAjlkyhqLcT n0T82xdv9N7g0PMZELLHqUh0W/lG31YLbakWWRCRRRNV1cqpGQlWXwuRKWASBao+brvpqDne1c7in ae2044fb577e65ee8bb576ca48a2f06e nJKvVgt9bsWFWtx6mwrPMr9G4Bm8lfo+7bPHXZpXxVxWn8dl8gcy9GBl5pYBu3I7TFkmiwlV6krUa v5lNHAiXCIZ1hAylTNDUIT+qLa9pGoGxoSFqUJi0Wwg nyzMOYHJHGBVEoWQft+5bNqtclAnqhk42V8Ask43p8BzzmRzqas7T7cTndmKTrat8WRp0XSeXL16c nX3ziMHU+76bVuJLIEASBxmo/T+zZwbXJIDfnYhimSbyg8PbQKDarFUkU6W5rKq1SScLiKF82TGay nta+Srx57hK89cYQddTWrviOLAk6LVPLCzGGXOdDdyd6tbUXP3xkZZzoWR9PWVfoAkCTJ1bm96+iG p8d3YH5MuCxwVpTkZb94TbytsEXMz1FDtMwkGzTtUPg mcDfyrZIyDh7srkDi3vhYS4jCqm7NCw5DOnMQ6j4pn8 nRI7t382Bnm0lh7RcvsBMJkdyFSJuYWwuxvVwFMPYWLqscDt55sh+PtLSeLsOTeOVG6OMhmcpFEoS 8V2SkLfQtXT7yOPHxqrPlAg6jp+lx+rvQTk+I2vfHWM n33f+5xzBNE2TBwDTNDVd1wuKqubSyVQyEokMR4OhwcnJ8YGrvb2Xj7/88tDw8HB68fUCYNzvNgkP nCHOxJC6nHZfDfk9s2+y2Kr9vS7WqZafTU7nJybnJVf3HA/cZ+YLC5YFRfnr6HUajcyiajtUisbW2 cWq6l3p0ObCKXB9xQoSknLapkHzQbOJlP+0vGj37mb0 ZJVkXnYZGc0zgB3S4AsbuD81KHR8Nkg8UponZZuzRBk osxZBo0+72mDtxL8Km08Kczn14GlT5MjY4EpN798huNF1x3z3PB4kcXYzS3AGG59 nyVZryTbXJcPtdBTlE4qqMRtPlL2PcXMiSDqTW7Ws1bcFt638RA6goKrMLa6hbsEuW0tW3dYlw++t nmzm6tZW2qorbNgyD189dIliaMxUwcT32xJOPbkhGeHae/pkIk4nkQgMAr2zlqYO7aKuvQVrHWa5E sQBMFfIvnZat9SH496KzHfKib626NzkhHKkXIfYGxxc nwDCpFflNT8DHc08c5pOPHLgrFa6sY0wmC+nvz199i99fvkZ4mdJtEQRcDjt76mt4rGcbR3Z1U1e9 npqOzxFLpVcsaAn58lZuLJMthkSTc9uJwX1BU8kppR7/WJcMwzKIzMKIgYLVayjj5sADTNJmJJYgt lgaGjSo8VdlXgzQ7qLaLqzOElG/CkYie3dvHgxY0q1o KfpAMXqgMZQvjBkO+O35Y/pOL13yT9Hg1IHmnRX7hBXG8TEU97ObwLOTdV2qxr8R nMrL5AqG5OFdGJ3iz9zpXp4PMZXPoy3xgXzDMfCpNnc+7RIaq68RTGRTduGNlZQKqYaLpBvcwFRKd 3ZJsjFJl8424bBJ0FHBsPsvg6JPdFtnXjH4FLENWtoY nO7vY0dlcdj2bPrljmCb5gsL3fvILzt6cYH5ZNBEFaK9w89zHHuXRPT3470KoWQ4T6O2/yS9Pn+P0 gWEH5FIh2K7Pn+qOKOAQ4a4ga69QD2nWtgNQRMIT2ak nV2wKuaxWvG4njVuq6Knxs62xgY7meuoC3jUbrek684kU49NhBiemuT4dZGQuzmwiRSKfR1smHQjA dfKcWOaG8KPoMfm5zts08Qlu05+R8BIzO3YcOMbimy7M7b66oYD1J20myZSpOoOWRYcUsjDmTjtwSPWh2TgTXA UJIn9VFKpDDGLj92vFtsDu89edbIfDnf+1BS1Op+N3ibnXDClU6Qn4m9zcPUJndT r+UiUzt9REOhqndIQXQTv4xLHJ5RqFQyDLMKVsbc2y8 nx7s7efbRg2xva7xrbRbu8vKNYRhMhWc5e22I09dvcHF0gpxe7CtkUSTgdFDtrSTgraLS42SLw45b nyQXdMFyHjhzp2pAME7g6Os7FGyNFyuqT27ext72FCrezZDLGZiKkMrl1NzVU06Sg6WglkCEKAjva 7qjY7245E0dfSy30XptPQ/SJdTfZfiiWf+eZ42wqMQY hxsTS1PgJe7SvMvbIVXAleqYGWt1TgQOogRt9pTwP9Y kIALIU87H8md0wl4Dysn22Qe8t0bfiR0AtU8PIYh/F8 nHtfSs0gmx9BkkLlEasPvRUm0VdfUbN2wxhvTQUKxxNJvu2zlkZ3dVDgdm9YYLJKE3SYjigL6GtPA IovS9pnQQHZKiKjE1j/4djsofx8XTeWYuY1gzVfwMkftuIcfvRX4w9vVlmxVJ4fe WYP3IlFsQbao/nmzk+V5+EDTMrEq8ygXRWqwiT3aXVk 7+KAkb3Ej2KFLftBLdWrHXNw5SyHuZNhHCgeqkrxnXg nG6EIyezqCdl6iCVS9E+HuDF72184LRZ62hqpXUNEWrWdG73Q1lDNtlo/gcWpopsQyhU4+d4VpsOz nPLlEhF2S6Kn28fknH6a7qZ5anxe7Td7QprA4vL2VHrwltEHVdKLxFFemwxQW6357eAxJkpCtFvZ0 nUSB5KpC0cNokTiMnTSPHtS3ZsizLsiSKWriI4k7ORnL27a59IEVxKC7DkWQ5Rv5vc8+93znnP+d8 wB98799JR2eOU8JQBj+AirJiMR1odQqWWeVt5DvdwLDbO/6GMnE3dISVriMmbsHg EecDzDUbtS5qsctGaW8eD9qka7saamJrDJfaB/3470s nJVVitUg01QVoq3TjWucUTu0WL1s8nhKbfhsX+4e5cH246BjOvvoamrZUFW10b4SSUrOdrc3s7SjW
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: a/a.java, line(s) 70,76,81,87 a0/a.java, line(s) 135,138,139,140,144 a0/c.java, line(s) 45 a0/d.java, line(s) 186,319 a0/e.java, line(s) 216,299,324,341 a0/f.java, line(s) 383,443,446 a0/p.java, line(s) 40 a6/c.java, line(s) 49 b6/h.java, line(s) 245,279,338,277 bin/mt/signature/KillerApplication.java, line(s) 119,164 c/b.java, line(s) 51 c0/c1.java, line(s) 56 c0/g.java, line(s) 112,113,141,142,365 c0/h.java, line(s) 63 c0/i.java, line(s) 43 c0/v0.java, line(s) 44,75,81,104,201,211,233,241,40,74,80,103,200,210,232,240,59,84,117,190 c5/b0.java, line(s) 73 c5/d0.java, line(s) 139 c5/e0.java, line(s) 290,299,67,73,79 c5/h.java, line(s) 34 c5/k.java, line(s) 140,144 c5/k0.java, line(s) 90 c5/o.java, line(s) 162,182 c5/p.java, line(s) 97,115 com/amazon/aps/ads/ApsAdController.java, line(s) 61,71,81,91,101,111,121,131,284,287 com/amazon/aps/ads/ApsLog.java, line(s) 23,33,47,53 com/amazon/aps/ads/activity/ApsInterstitialActivity.java, line(s) 73,137,155,157 com/amazon/aps/ads/util/ApsAdExtensionsKt.java, line(s) 14,20,31 com/amazon/aps/ads/util/ApsUtils.java, line(s) 43,46 com/amazon/aps/shared/APSAnalytics.java, line(s) 110,42,48,108,120,139,161,170 com/amazon/aps/shared/ApsMetrics.java, line(s) 114,126,132,157,61,208 com/amazon/aps/shared/analytics/APSEvent.java, line(s) 55,124,168 com/amazon/aps/shared/util/APSNetworkManager.java, line(s) 40,114,116,122,43,54,61,67,77,80,93,128,134,157,163,177,184,207 com/amazon/aps/shared/util/ApsAsyncUtil.java, line(s) 34,37,61,108,178,189,201 com/amazon/device/ads/AdRegistration.java, line(s) 211,315,326,615,636,682,199,601,657,294,295,298,299,309,310,312,227 com/amazon/device/ads/DTBAdMRAIDBannerController.java, line(s) 689 com/amazon/device/ads/DTBAdMRAIDController.java, line(s) 152,231,294,441,469,472,492,495,508,512,515,649 com/amazon/device/ads/DTBAdMRAIDExpandedController.java, line(s) 87 com/amazon/device/ads/DTBAdMRAIDInterstitialController.java, line(s) 44,136,167 com/amazon/device/ads/DTBAdNetworkInfo.java, line(s) 21 com/amazon/device/ads/DTBAdRequest.java, line(s) 288,291,293,344,346,353,436,438,443,448,455,458,494,515,517,524,527,535,561,766,768,976,286,355,617,728,837,350,549,648,714,717,955,125,158,398,620,634 com/amazon/device/ads/DTBAdResponse.java, line(s) 215,324 com/amazon/device/ads/DTBAdUtil.java, line(s) 60,181,184,257,365,368,399,416,419,422,425,428,431,436 com/amazon/device/ads/DTBInterstitialActivity.java, line(s) 63 com/amazon/device/ads/DTBMetricReport.java, line(s) 79,154 com/amazon/device/ads/DTBMetricsConfiguration.java, line(s) 86,146,156,222,235,255,270,68,100,128 com/amazon/device/ads/DTBMetricsProcessor.java, line(s) 60,65,68,71,76,75,79,83,86 com/amazon/device/ads/DTBTimeTrace.java, line(s) 63,43,55,66,79,89,114 com/amazon/device/ads/DtbAdRequestParamsBuilder.java, line(s) 105,74,190 com/amazon/device/ads/DtbAdvertisingInfo.java, line(s) 11,17,24,27,40,39 com/amazon/device/ads/DtbCommonUtils.java, line(s) 131,134,137,140,143,146,232,235,238,241,244,247,259,319,119,99 com/amazon/device/ads/DtbDebugProperties.java, line(s) 89,99,133,138,141,144,149,155,161,171 com/amazon/device/ads/DtbDeviceData.java, line(s) 96,101,136,138,183,199,163 com/amazon/device/ads/DtbDeviceRegistration.java, line(s) 141,150,157,182,251,320,363,383,389,392,133,139,196,202,374,410,468,102,105,162,166,193,214,218,233,239,284,305,315,340,343,371,439 com/amazon/device/ads/DtbFireOSServiceAdapter.java, line(s) 23,25,36,40 com/amazon/device/ads/DtbGeoLocation.java, line(s) 44,84,89,93,96,98,101,67,71 com/amazon/device/ads/DtbGooglePlayServices.java, line(s) 63 com/amazon/device/ads/DtbGooglePlayServicesAdapter.java, line(s) 37,40,43,18,21,26,31 com/amazon/device/ads/DtbHttpClient.java, line(s) 44,78,84,96,105,156,157,167,170 com/amazon/device/ads/DtbLog.java, line(s) 29,38,47,56,68,77,85,92,101,111,15,152,161,185,194 com/amazon/device/ads/DtbMetrics.java, line(s) 30,32,41,44,47,53,56,61,72,74,179 com/amazon/device/ads/DtbOmSdkSessionManager.java, line(s) 102,218,69,78,194,209 com/amazon/device/ads/DtbPackageNativeData.java, line(s) 25,41 com/amazon/device/ads/DtbSharedPreferences.java, line(s) 425,224 com/amazon/device/ads/DtbThreadService.java, line(s) 21,29 com/amazon/device/ads/WebResourceService.java, line(s) 102 com/canhub/cropper/CropImageActivity.java, line(s) 160,687,744 com/canhub/cropper/CropImageView.java, line(s) 890 com/iab/omid/library/amazon/utils/d.java, line(s) 17,10 com/iab/omid/library/inmobi/d/c.java, line(s) 17,10 com/iab/omid/library/mobilefuse/publisher/b.java, line(s) 32,34 com/iab/omid/library/mobilefuse/utils/d.java, line(s) 17,10 com/iab/omid/library/smaato/utils/c.java, line(s) 17,10 com/iab/omid/library/tappx/publisher/b.java, line(s) 32,34 com/iab/omid/library/tappx/utils/d.java, line(s) 17,10 com/inmobi/choice/core/error/ErrorLogger.java, line(s) 52,65 com/inmobi/choice/core/model/tracking/TrackingInitLog.java, line(s) 58,106 com/inmobi/choice/presentation/ccpa/CCPAPrivacyFragment.java, line(s) 108 com/inmobi/media/c0.java, line(s) 41,47 com/inmobi/media/f3.java, line(s) 71 com/inmobi/media/fa.java, line(s) 23,27 com/inmobi/media/g0.java, line(s) 14,8 com/inmobi/media/o6.java, line(s) 28,35,51,56,76,81,22,47,16,42 com/inmobi/media/v3.java, line(s) 26 com/inmobi/media/w2.java, line(s) 184 com/inmobi/media/y.java, line(s) 26 com/klinker/android/send_message/MmsReceivedReceiver.java, line(s) 18,20,30,34 com/klinker/android/send_message/MmsReceivedService.java, line(s) 39 com/mariussoft/endlessjabber/sdk/EndlessJabberWakefulService.java, line(s) 131 com/mobilefuse/sdk/AdRendererContainer.java, line(s) 173,187 com/mobilefuse/sdk/DebuggingKt.java, line(s) 17,36 com/mobilefuse/sdk/MobileFuse.java, line(s) 104,111,118,125 com/mobilefuse/sdk/MobileFuseImpl.java, line(s) 82,86,90 com/mobilefuse/sdk/ad/rendering/omniad/view/ViewRenderingPixelsKt.java, line(s) 23 com/mobilefuse/sdk/mraid/MraidAdRenderer.java, line(s) 125,497,517,714,991,144,691 com/mobilefuse/sdk/omid/BaseOmidBridgeImpl.java, line(s) 58 com/mobilefuse/sdk/omid/viewtree/ViewTreeInspector.java, line(s) 204,46 com/mobilefuse/sdk/telemetry/ExceptionHandler.java, line(s) 83,85,60 com/mobilefuse/sdk/telemetry/implementations/SentryService.java, line(s) 103,147,148 com/mobilefuse/sdk/vast/VastAdRenderer.java, line(s) 284 com/mobilefuse/videoplayer/VideoPlayer.java, line(s) 387,566 com/mobilefuse/videoplayer/tracking/VastEventTracker.java, line(s) 133 com/p1/chompsms/ChompSms.java, line(s) 197,205,213,217,185,379 com/p1/chompsms/EclairAndAboveContactsAccessor.java, line(s) 164,183,186,295,325 com/p1/chompsms/activities/BaseWebViewActivity.java, line(s) 55,58 com/p1/chompsms/activities/Conversation.java, line(s) 1360,645,1306,1342 com/p1/chompsms/activities/MyContactPicturePreference.java, line(s) 221 com/p1/chompsms/activities/RingtonePicker.java, line(s) 98,102 com/p1/chompsms/activities/SaveToSDCard.java, line(s) 106 com/p1/chompsms/activities/conversationlist/ContactPhoto.java, line(s) 66 com/p1/chompsms/activities/conversationlist/ConversationList.java, line(s) 362,524 com/p1/chompsms/activities/g0.java, line(s) 141 com/p1/chompsms/activities/g2.java, line(s) 42 com/p1/chompsms/activities/h2.java, line(s) 163 com/p1/chompsms/activities/j.java, line(s) 91,263,267,293 com/p1/chompsms/activities/k3.java, line(s) 173 com/p1/chompsms/activities/l.java, line(s) 69 com/p1/chompsms/activities/l0.java, line(s) 67 com/p1/chompsms/activities/themesettings/CustomizeTheme.java, line(s) 113 com/p1/chompsms/activities/themesettings/preview/PreviewTheme.java, line(s) 200,259,318,377 com/p1/chompsms/adverts/AdvertsConfigDelegate.java, line(s) 130 com/p1/chompsms/adverts/AppAdvertsConfigDelegate.java, line(s) 72 com/p1/chompsms/provider/ChompProvider.java, line(s) 117,399 com/p1/chompsms/sms/ScheduledSmsReceiver.java, line(s) 17 com/p1/chompsms/util/BitmapUtil.java, line(s) 186,203,139,274,622 com/p1/chompsms/util/i0.java, line(s) 80,85 com/p1/chompsms/util/p2.java, line(s) 496 com/p1/chompsms/util/s0.java, line(s) 83 com/p1/chompsms/util/y0.java, line(s) 271,275,289,291,294,296,299,699,2738,302,582,1270,1521,2011,2695 com/p1/chompsms/views/ColourWheel.java, line(s) 22 com/p1/chompsms/views/ConversationPreview.java, line(s) 213 com/p1/chompsms/views/QuickComposeContactsField.java, line(s) 333 com/p1/chompsms/views/SlidingViewContainerIndicator.java, line(s) 78 com/smaato/sdk/core/AndroidsInjector.java, line(s) 90 com/smaato/sdk/core/Config.java, line(s) 50,64 com/smaato/sdk/core/SmaatoSdk.java, line(s) 103,235,344,475,323 com/smaato/sdk/core/ad/KeyValuePairs.java, line(s) 19,22,27,42,56,59 com/smaato/sdk/core/browser/SmaatoSdkBrowserActivity.java, line(s) 146 com/smaato/sdk/core/gdpr/tcfv2/TCModel.java, line(s) 210,219,235,281,378,403,269,286,294,302,310,318,326,342,358,366,383,391 com/smaato/sdk/core/gdpr/tcfv2/encoder/Base64Converter.java, line(s) 32 com/smaato/sdk/core/gdpr/tcfv2/encoder/field/FixedVectorEncoder.java, line(s) 33 com/smaato/sdk/core/gdpr/tcfv2/encoder/field/IntEncoder.java, line(s) 21 com/smaato/sdk/core/gdpr/tcfv2/encoder/field/LangEncoder.java, line(s) 23 com/smaato/sdk/core/gdpr/tcfv2/encoder/field/PurposeRestrictionVectorEncoder.java, line(s) 57 com/smaato/sdk/core/gdpr/tcfv2/encoder/field/VendorVectorEncoder.java, line(s) 60 com/smaato/sdk/core/gdpr/tcfv2/encoder/segment/CoreTCEncoder.java, line(s) 55,67,72 com/smaato/sdk/core/gdpr/tcfv2/encoder/segment/OOBVendorsEncoder.java, line(s) 66 com/smaato/sdk/core/gdpr/tcfv2/encoder/segment/PublisherTCEncoder.java, line(s) 51 com/smaato/sdk/core/linkhandler/LinkHandler.java, line(s) 200 com/smaato/sdk/core/log/DiLogLayer.java, line(s) 28 com/smaato/sdk/core/openmeasurement/BaseOMViewabilityTracker.java, line(s) 24,33,46,51,62,71 com/smaato/sdk/core/openmeasurement/OMImageViewabilityTracker.java, line(s) 48 com/smaato/sdk/core/openmeasurement/OMWebViewViewabilityTracker.java, line(s) 39 com/smaato/sdk/core/util/Intents.java, line(s) 49 com/smaato/sdk/core/util/Threads.java, line(s) 170 com/smaato/sdk/richmedia/util/ViewUtils.java, line(s) 37 com/tappx/a/hb.java, line(s) 41,37,45,8,50 com/tappx/sdk/adapters/AdmobBannerAdapter.java, line(s) 92,99,115 com/tappx/sdk/adapters/AdmobInterstitialAdapter.java, line(s) 92,99,113 com/tappx/sdk/adapters/AdmobRewardedRenderer.java, line(s) 49,55,65 com/uservoice/uservoicesdk/babayaga/BabayagaTask.java, line(s) 77,89,103 com/uservoice/uservoicesdk/deflection/Deflection.java, line(s) 41,46 com/uservoice/uservoicesdk/rest/RestTask.java, line(s) 124 com/uservoice/uservoicesdk/ui/DefaultCallback.java, line(s) 19,23 d5/a.java, line(s) 49,58 e1/f.java, line(s) 25 e3/a.java, line(s) 285,284,70 e5/c.java, line(s) 68 e6/b.java, line(s) 142 f0/c.java, line(s) 108 f0/q.java, line(s) 35,57,65 f1/a.java, line(s) 125,204,206,42,50,57,64,66,72,60,68,75,87,92,112,173 f1/d.java, line(s) 33,44,46,77,92,146,184,186,200,244,291,312,317,319,328,70,181,188,214,223,248,267,304 f3/c.java, line(s) 95,94 f3/i.java, line(s) 514,515 f6/e.java, line(s) 798,703,488,548 g0/j.java, line(s) 46,51 g0/k.java, line(s) 32 g0/l.java, line(s) 54 g0/m.java, line(s) 37 g0/n.java, line(s) 47,258 g2/f.java, line(s) 17 g5/d.java, line(s) 27,32,37,42,47,52,57,62,67,72,77,82,87,92,97,102,107 g5/e.java, line(s) 174,181,325 g6/o.java, line(s) 124 h/i.java, line(s) 59,96,108,118 h/j.java, line(s) 144 h0/d.java, line(s) 27,30,33,45,48,51,63,66,69,81,84,87,139,148 h2/c.java, line(s) 111 h2/e.java, line(s) 141,143,317,320,324,328,360,363,366,369,372 h2/i.java, line(s) 358,411,414 h2/v.java, line(s) 473 h4/v.java, line(s) 153,166 h5/r.java, line(s) 78,119,128,145 i1/a0.java, line(s) 129 i1/n.java, line(s) 161,225,227 i1/p.java, line(s) 30 i1/s.java, line(s) 61,140 i1/t.java, line(s) 52,65 i2/e.java, line(s) 258,165 i2/k.java, line(s) 28 i2/l.java, line(s) 39 i8/o.java, line(s) 75 i9/c0.java, line(s) 97,147,118,356,704 ic/t.java, line(s) 351,360,1013 j6/s.java, line(s) 142,354 j6/v.java, line(s) 47,27,40,51,156 j6/z.java, line(s) 190,262,267,74,251,256 k0/l.java, line(s) 20 k4/a.java, line(s) 65,86,108,138,76,77 l3/d.java, line(s) 41 l8/k.java, line(s) 586 m/c.java, line(s) 266,324 m/f.java, line(s) 54 m1/c.java, line(s) 38,42 m8/a.java, line(s) 188,749 n1/f.java, line(s) 37,142 nc/g.java, line(s) 198,232 o0/c.java, line(s) 82 o0/c1.java, line(s) 214,185,213 o0/f.java, line(s) 66 o0/f1.java, line(s) 17,28 o0/g.java, line(s) 348 o0/n1.java, line(s) 26 o0/o1.java, line(s) 30,42,49,58 o0/r0.java, line(s) 74 o0/s1.java, line(s) 47,66,38 o0/y.java, line(s) 25,38,85,147,186,203,227 o1/a.java, line(s) 52 org/lsposed/hiddenapibypass/HiddenApiBypass.java, line(s) 75,313 p3/h.java, line(s) 49,144,149,155 q5/a.java, line(s) 45,49 q5/b.java, line(s) 360,363,366,373 q5/c.java, line(s) 439 q5/d.java, line(s) 208,434 q5/f.java, line(s) 158,138,155 q5/g.java, line(s) 1266 q8/a.java, line(s) 34 q8/c.java, line(s) 166,89,95,97,305 q8/k.java, line(s) 66 r/a.java, line(s) 549,556,659,685,731,756,764,548,555,653,686,723,732,759,765,771,141,660 r1/k.java, line(s) 53,61 r2/k.java, line(s) 541,520 r4/d.java, line(s) 57,103 r4/d1.java, line(s) 76 r4/f.java, line(s) 29 r4/j.java, line(s) 328,444,1401,1408,1455 r5/a.java, line(s) 82,42 s/d.java, line(s) 370 s0/b.java, line(s) 247 s1/m.java, line(s) 278 s5/c.java, line(s) 62,119,121,134,138 s5/d.java, line(s) 197,236,420,65,71,296,407 s5/e.java, line(s) 75 t/l.java, line(s) 44,45 t4/c.java, line(s) 39 t5/d.java, line(s) 63,84,90,107,112 t6/d.java, line(s) 75 u/g.java, line(s) 750,818,847,883 u5/b.java, line(s) 746,134,292,351 u5/e.java, line(s) 191,268 u5/f.java, line(s) 113 u5/g.java, line(s) 54 u5/i.java, line(s) 230 u5/l.java, line(s) 84,119 u5/n.java, line(s) 298,335,357 u5/o.java, line(s) 95 u5/p.java, line(s) 181,187 u5/q.java, line(s) 98,369 x/e.java, line(s) 28,30 x/j.java, line(s) 28,30 x/o.java, line(s) 29,31 x0/b.java, line(s) 146 x0/c.java, line(s) 201,209,257,269,281,293,305,317,329,341,348,359,371,354 x0/g.java, line(s) 150,189,225,230,291,367,384,402,409,605,803,854,874,888,922,940,999,1107,1110,1150,1173,1177,1201,1215,1250,1265,1273,1278,1335,1348,1377,1384,1388,1471,1476,1482,1498,1511,1522,1526,1618,56,267,272,778,1027,1446,1449,1452,1555,1563 x1/d.java, line(s) 61,64,67,70,105,107,109,111,113,115,186,189,192,195 x5/a0.java, line(s) 16 x5/d0.java, line(s) 161,167,817,1047,1118,1354,1662,1672,1703 x5/f0.java, line(s) 41,36 x5/g.java, line(s) 191,236,234 x5/j.java, line(s) 750,925,908,938 x5/k.java, line(s) 112,114 x5/z.java, line(s) 19 x6/d.java, line(s) 74 y/d0.java, line(s) 93,97 y/e.java, line(s) 344 y/f0.java, line(s) 205 y/g.java, line(s) 28,66 y/i.java, line(s) 118,123 y/l.java, line(s) 192,199 y/n.java, line(s) 729 y/r.java, line(s) 169,203 y/x.java, line(s) 39,70 y/z.java, line(s) 315,337,595,193 z0/c.java, line(s) 30,50 z4/j.java, line(s) 158
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/p1/chompsms/activities/ConsentPrefs.java, line(s) 4,109,114
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/inmobi/media/w9.java, line(s) 87,91 xb/w.java, line(s) 70,69,68,68