安全分析报告:
安全分数
安全分数 40/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
5
用户/设备跟踪器
调研结果
高危
10
中危
27
信息
1
安全
2
关注
3
高危 Activity (com.example.gdclient.wxapi.WXEntryActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (cn.jpush.android.ui.PopWinActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (cn.jpush.android.ui.PushActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (cn.jpush.android.service.DActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 Activity (cn.jpush.android.service.JNotifyActivity) 容易受到StrandHogg 2.0的攻击
已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (28) 更新到 29 或更高版本以在平台级别修复此问题。
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: com/pichillilorenzo/flutter_inappwebview/InAppBrowser/InAppBrowserActivity.java, line(s) 461,17,18 com/pichillilorenzo/flutter_inappwebview/InAppWebView/c.java, line(s) 121,11,12
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/g/a/a/p0/i0/c.java, line(s) 42 f/i/a/e/g/b.java, line(s) 74,116 f/k/h3.java, line(s) 84 f/k/y1.java, line(s) 58,94,154,167
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: f/g/a/b/e/e/x1.java, line(s) 52
高危 不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击
不安全的Web视图实现。Web视图忽略SSL证书错误并接受任何SSL证书。此应用程序易受MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification Files: com/pichillilorenzo/flutter_inappwebview/InAppWebView/f.java, line(s) 177,507
高危 应用程序包含隐私跟踪程序
此应用程序有多个5隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity-Alias (com.example.gdclient.wxapi.WXEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity-Alias (com.example.gdclient.wxapi.WXPayEntryActivity) 未被保护。
[android:exported=true] 发现 Activity-Alias与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.jiguang.jpush.JPushEventReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.google.android.gms.measurement.AppMeasurementInstallReferrerReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.meizu.cloud.pushsdk.NotificationService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PopWinActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (cn.jpush.android.ui.PushActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (cn.jpush.android.service.DaemonService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.DActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.DActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (cn.jpush.android.service.PushReceiver) 未被保护。
存在一个intent-filter。 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。
中危 Content Provider (cn.jpush.android.service.DownloadProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(cn.jpush.android.service.JNotifyActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (cn.jpush.android.service.JNotifyActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 高优先级的Intent (1000) - {1} 个命中
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/example/gdclient/WebActivity.java, line(s) 124 com/mr/flutter/plugin/filepicker/b.java, line(s) 199 com/pichillilorenzo/flutter_inappwebview/InAppWebView/e.java, line(s) 1184,1178 com/yalantis/ucrop/PictureMultiCuttingActivity.java, line(s) 89,170 com/yalantis/ucrop/p/e.java, line(s) 62 d/g/e/a.java, line(s) 47 d/g/e/b.java, line(s) 130 f/d/a/h.java, line(s) 8 f/h/b/b.java, line(s) 252,242 f/k/g3.java, line(s) 315,316,393 sk/fourq/otaupdate/OtaUpdatePlugin.java, line(s) 71
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/jarvan/fluwx/c/e.java, line(s) 115,143 com/pichillilorenzo/flutter_inappwebview/InAppWebView/e.java, line(s) 1184 d/j/a/a.java, line(s) 1004 o/a/a/e.java, line(s) 200
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: f/k/b2.java, line(s) 3,14 f/k/s.java, line(s) 3,14,15,16,17,18 f/k/t2.java, line(s) 12,140 f/k/y.java, line(s) 3,30 f/k/z1.java, line(s) 4,111,125 f/l/a/c/d.java, line(s) 4,5,13,14,20,21,31,32 f/n/a/c.java, line(s) 7,409,825
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/hhwy/fm_tim/helper/CustomAVCallUIController.java, line(s) 25 com/mr/flutter/plugin/filepicker/c.java, line(s) 28 com/tencent/av/TIMAvManager.java, line(s) 25 f/g/a/b/e/e/kc.java, line(s) 22 f/k/t2.java, line(s) 34 f/k/y0.java, line(s) 10
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/example/gdclient/a.java, line(s) 39 com/hhwy/fm_tim/utils/MD5.java, line(s) 10 f/k/j3.java, line(s) 22,110
中危 IP地址泄露
IP地址泄露 Files: f/i/a/e/b/j.java, line(s) 30 f/i/a/e/f/i.java, line(s) 43 f/i/a/h/d.java, line(s) 270
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: f/i/a/e/g/e.java, line(s) 38 f/i/a/e/g/h.java, line(s) 55 f/j/a/a.java, line(s) 211,247 f/k/c3.java, line(s) 192
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: f/k/y2.java, line(s) 131,130
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/hhwy/fm_tim/signature/GenerateTestUserSig.java, line(s) 13
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "100642285" 凭证信息=> "TIM_APPID" : "1400270280" vivo推送的=> "com.vivo.push.api_key" : "a90685ff-ebad-4df3-a265-3d4bb8e3a389" 极光推送的=> "JPUSH_APPKEY" : "ecb605d27dcd751897401e37" 凭证信息=> "TIM_APPSECRETKEY" : "28906b3426cc8bd93184dca7445c7c756b280ebbc928abb4a287668eff51fe97" 高德地图的=> "com.amap.api.v2.apikey" : "739da40e3b83d2be6c2e408cb3a70394" 凭证信息=> "MI_APPKEY" : "WzqTdORtuOA3WpWjput7N9" 极光推送的=> "JPUSH_CHANNEL" : "developer-default" 凭证信息=> "MI_APPID" : "OMsMAUoSxv9G7jKvRsz067" D2FF99A88BEB04683D89470D4FA72B1749DA456AB0D0F1A476477CE5A6874F53A9106423D905F9D808C0FCE8E7F1E04AC642F01FE41D0C7D933971F45CBA72B7 239CE372F804D4BE4EAFFD183668379BDF274440E6F246AB16BBE6F5D1D30DEACFBBF0C942485727FF12288228760A9E WY29tLmFtYXAuYXBpLmFpdW5ldC5OZXRSZXVlc3RQYXJhbQ FB923EE67A8B4032DAA517DD8CD7A26FF7C25B0C3663F92A0B61251C4FFFA858DF169D61321C3E7919CB67DF8EFEC827 AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789 nDmLoHS1vniuFqw3ny2Vjjmz2dwHNLHgXtddzD18VMHL00gsRqRWxyiIECYzkIFuq WYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFVFRJTkdT nfXvlcTdKSmlWSq4TQO01bLAjQdrf7tSILe8tPNMSfByvM623qWxT+NW0Kz6q6LSM EYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFQ1VSRV9TRVRUSU5HUw== WYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19XSUZJX1NUQVRF 9a571aa113ad987d626c0457828962e6 c442f1b1d8d18f6dc973cbb9036c0b2a IaHR0cDovL2xvZ3MuYW1hcC5jb20vd3MvbG9nL3VwbG9hZD9wcm9kdWN0PSVzJnR5cGU9JXMmcGxhdGZvcm09JXMmY2hhbm5lbD0lcyZzaWduPSVz 256b0f26bb2a9506be6cfdb84028ae08 49cb4254efce57d5861aedca86e5baf1205b09cd7f742b38065559f0f70676754915acca5ad6eeaa0d68dfd5143d0a50faedb6cda3b13852705c881ba5b587ecbbb4467cbed08b6754a3f424d90c66fd3b82d48bd5c132b88ff36da668f5adc286ec8317166c70110203010001 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 EImtleSI6IiVzIiwicGxhdGZvcm0iOiJhbmRyb2lkIiwiZGl1IjoiJXMiLCJwa2ciOiIlcyIsIm1vZGVsIjoiJXMiLCJhcHBuYW1lIjoiJXMiLCJhcHB2ZXJzaW9uIjoiJXMiLCJzeXN2ZXJzaW9uIjoiJXMiLA= 2d1e55658d041b98ce28d81f5c7fe8b85b528f6afea350f28da6e833df875e19a6c71c59050298b28323c8910980c12a8e731e0c47dc14da076e88e25a8b7e9a7c33b27baf12e1c9de861523af15f577789389b700578670b6e37ff5e 30820122300d06092a864886f70d01010105000382010f003082010a0282010100c54db230ca0e0f37b105a3cd364dd20c76d3574a781f884aeb7d7548fb33928eaafe7cf9d94b3dcb553bbb9e61821738b359da9f8cf1e9281cfbf84 d6566a6aceaa3d9ccee3d76502e557e0ed9e2cd25778981fc1626e72372cead5 fe643c382e5c3b3962141f1a2e815a78 MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs0k7JI67MfFZabiUNIMi 668319f11506def6208d6afe320dfd52 0000016742C00BDA259000000168CE0F13200000016588840DCE7118A0002FBF1C31C3275D78 nUDqaL4VdwtlOm4c2JiAUOdAcmp7Ma3VKlrCwFb2FyT5VeSSapeMqJZ+lL+1aG/rw AYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19ORVRXT1JLX1NUQVRF EYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19DT0FSU0VfTE9DQVRJT04= 53E53D46011A6BBAEA4FAE5442E659E0577CDD336F930C28635C322FB3F51C3C63F7FBAC9EAE448DFA2E5E5D716C4807 nxkY32PndXgJdZJv7KMHYoUVxw2d1sWpu55W68ANI4BOomDpNHzmBAVRGYcJXd8n8 b2e8bd171989cb2c3c13bd89b4c1067a edef8ba9-79d6-4ace-a3c8-27dcd51d21ed F13160D440C7D0229DA95450F66AF92154AC84DF088F8CA3100B2E8131D57F3DC67124D4C466056E7A3DFBE035E1B9A4B9DA4DB68AE65A43EDFD92F5C60EF0C9 f6040d0e807aaec325ecf44823765544e92905158169f694b282bf17388632cf95a83bae7d2d235c1f039 a8cb572c8030b2df5c2b622608bea02b0c3e5d4dff3f72c9e3204049a45c0760cd3604af8d57f0e0c693cc AF2228680EDC323FBA035362EB7E1E38A0C33E1CF6F6FB805EE553A230CBA754CD9552EB9B546542CBE619E8293151BE b0df1dcca5fda619b6f7f459f2ff8d70ddb7b601592fe29fcae58c028f319b3b12495e67aa5390942a997 WYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfUEhPTkVfU1RBVEU= a9a9d23668a1a7ea93de9b21d67e436a
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: com/hhwy/fm_gaode_map/FmMapPluginImp.java, line(s) 52,58 com/hhwy/fm_gaode_map/FmMapView.java, line(s) 148,149,157,161,168,430,464,469,532,561 com/hhwy/fm_gaode_map/FmMapViewFactory.java, line(s) 67,78 com/hhwy/fm_gaode_map/location/FmGaodeLocationImpClientGPS.java, line(s) 93,97,104 com/hhwy/fm_gaode_map/location/FmGaodeLocationImpClientGaode.java, line(s) 37,38 com/hhwy/fm_tim/BaseActivity.java, line(s) 54,62,76,82,88,103,109,116 com/hhwy/fm_tim/FmPluginImp.java, line(s) 256,262,270,274 com/hhwy/fm_tim/ViewFactory.java, line(s) 65,74 com/hhwy/fm_tim/chat/ChatActivity.java, line(s) 45,52 com/hhwy/fm_tim/helper/ChatLayoutHelper.java, line(s) 31,34,45 com/hhwy/fm_tim/helper/CustomAVCallUIController.java, line(s) 179,45,55,127,193,204,221,231,251,263,269,280,293,311,316,323 com/hhwy/fm_tim/helper/CustomMessage.java, line(s) 48,52 com/hhwy/fm_tim/helper/TRTCActivity.java, line(s) 27,33,38,51,56,65,90,96,104,110 com/hhwy/fm_tim/helper/TRTCListener.java, line(s) 33,42,51,60,69,78,87,96 com/hhwy/fm_tim/thirdpush/GoogleFCMMsgService.java, line(s) 12 com/hhwy/fm_tim/thirdpush/HUAWEIPushReceiver.java, line(s) 17,27 com/hhwy/fm_tim/thirdpush/MEIZUPushReceiver.java, line(s) 20,30,53,81,87 com/hhwy/fm_tim/thirdpush/ThirdPushTokenMgr.java, line(s) 54,59,34 com/hhwy/fm_tim/thirdpush/VIVOPushMessageReceiverImpl.java, line(s) 12,16 com/hhwy/fm_tim/thirdpush/XiaomiMsgReceiver.java, line(s) 19,23,27,31,35,39 com/hhwy/fm_tim/utils/DemoLog.java, line(s) 9,13,17,25,29 com/mr/flutter/plugin/filepicker/b.java, line(s) 74,87,105,200,216,147 com/mr/flutter/plugin/filepicker/c.java, line(s) 44,195,95,120,143,145,172,180,183,127,39 com/pichillilorenzo/flutter_inappwebview/ChromeCustomTabs/c.java, line(s) 26 com/pichillilorenzo/flutter_inappwebview/InAppBrowser/InAppBrowserActivity.java, line(s) 197 com/pichillilorenzo/flutter_inappwebview/InAppWebView/InAppWebView.java, line(s) 445,453,825 com/pichillilorenzo/flutter_inappwebview/InAppWebView/b.java, line(s) 76 com/pichillilorenzo/flutter_inappwebview/InAppWebView/c.java, line(s) 85,99,114 com/pichillilorenzo/flutter_inappwebview/InAppWebView/e.java, line(s) 107,251,294,371,469,871 com/pichillilorenzo/flutter_inappwebview/InAppWebView/f.java, line(s) 63,282,104,163,192,238,617,712 com/pichillilorenzo/flutter_inappwebview/InAppWebView/h.java, line(s) 25,48 com/pichillilorenzo/flutter_inappwebview/InAppWebView/i.java, line(s) 57,65,101,127 com/tencent/av/NetworkUtil.java, line(s) 31,39,43 com/tencent/av/PingUtil.java, line(s) 179,47,73,99,104,67,197,199 com/tencent/av/TIMAvManager.java, line(s) 584,801,812,396,502,592,593,639,695,829,830,862,918,973,402,458,518,722,424 com/tencent/timint/TIMIntManager.java, line(s) 119,124,134 com/tencent/trtc/TRTCCloud.java, line(s) 77,81,85,89,103 com/yalantis/ucrop/UCropActivity.java, line(s) 449 com/yalantis/ucrop/o/a.java, line(s) 123 com/yalantis/ucrop/o/b.java, line(s) 60,167,243,66,80,87,119 com/yalantis/ucrop/p/a.java, line(s) 100,48,79 com/yalantis/ucrop/p/c.java, line(s) 70 com/yalantis/ucrop/p/e.java, line(s) 70 com/yalantis/ucrop/p/f.java, line(s) 119,124,137,142,156,166,178,210,226,230,235,244,247,252,274,118,123,136,141,155,165,177,209,225,229,234,243,246,251 com/yalantis/ucrop/view/OverlayView.java, line(s) 127,130 com/yalantis/ucrop/view/b.java, line(s) 68,197,148 d/a/k/a/a.java, line(s) 75 d/a/n/g.java, line(s) 191,262,301 d/d/a/h2.java, line(s) 574,581 d/d/a/t2.java, line(s) 47,53,10,14,18,22,59,65 d/g/e/a.java, line(s) 113 d/g/e/d/a.java, line(s) 20 d/g/e/d/b.java, line(s) 58 d/g/e/d/f.java, line(s) 32,40 d/g/f/c.java, line(s) 424,429 d/g/f/e.java, line(s) 52 d/g/f/f.java, line(s) 39,55 d/g/f/g.java, line(s) 49,76 d/g/f/j.java, line(s) 83,86 d/g/f/k.java, line(s) 123 d/g/h/a.java, line(s) 20 d/g/h/b.java, line(s) 20 d/g/k/c.java, line(s) 18 d/g/l/b.java, line(s) 56 d/g/l/d0.java, line(s) 343,355,362,371 d/g/l/e0/c.java, line(s) 146 d/g/l/f.java, line(s) 18,27 d/g/l/h.java, line(s) 14 d/g/l/v.java, line(s) 671 d/g/l/w.java, line(s) 21,32 d/g/l/y.java, line(s) 25,46,62,89,110,125,140 d/j/a/a.java, line(s) 301,849,880,883,917,923,1185,1261,1359,1505,1555,1623,1741,1767,1849,1996,2066,2087,2100,2129,2383,2681,2686,2692,2790,2891,2911,2974,3060,3080,3086,1148,3105,92,965,972,1515,1523,1696,1959,2222,2529,2594,2603,2661,2707,2710 d/l/a/b.java, line(s) 124,133,174 d/m/a/a.java, line(s) 108,113,120,124,140,150 d/o/i0.java, line(s) 98,120 d/o/y.java, line(s) 39,48,50 d/p/a/a/i.java, line(s) 1034,1037 f/c/a/p.java, line(s) 20 f/c/a/t.java, line(s) 128,139,197,201,232,238,243 f/c/a/u.java, line(s) 408,412,417 f/c/a/v.java, line(s) 50 f/d/a/i.java, line(s) 102,302,354,405,415,422,438,439,75,93,271,342,372,399 f/d/a/j.java, line(s) 45 f/g/a/a/t0/n.java, line(s) 12,42,48,27,21,33 f/g/a/b/a/a/a.java, line(s) 231,263 f/g/a/b/a/a/b.java, line(s) 40,55,65,76 f/g/a/b/a/a/c.java, line(s) 17,26,35,47 f/g/a/b/c/a0.java, line(s) 36,39,50 f/g/a/b/c/c0.java, line(s) 33,35,29 f/g/a/b/c/e.java, line(s) 48,179 f/g/a/b/c/j.java, line(s) 87,69,127,135,139,149,157,163,179 f/g/a/b/c/k.java, line(s) 66,97 f/g/a/b/c/o/a.java, line(s) 35 f/g/a/b/c/s.java, line(s) 60,64,21 f/g/a/b/c/u.java, line(s) 36 f/g/a/b/e/d/m.java, line(s) 27 f/g/a/b/e/e/f1.java, line(s) 68 f/g/a/b/e/e/h7.java, line(s) 34,45,59,72,31,44,58 f/g/a/b/e/e/kc.java, line(s) 229,261,145,140,150,157,328,334 f/g/a/b/e/e/o1.java, line(s) 48 f/g/a/b/e/e/r1.java, line(s) 70,68 f/g/a/b/e/e/t1.java, line(s) 31 f/g/a/b/e/e/u1.java, line(s) 28 f/g/a/b/e/e/w1.java, line(s) 31 f/g/a/b/f/b/a.java, line(s) 36,40 f/g/c/c.java, line(s) 256,218 f/g/e/s/a/a/b.java, line(s) 159 f/h/b/b.java, line(s) 293 f/h/c/d.java, line(s) 35,65 f/i/a/e/d/a.java, line(s) 22 f/i/a/f/d.java, line(s) 28,23,26,21 f/k/a.java, line(s) 294 f/k/d2.java, line(s) 417 f/k/n3.java, line(s) 210,211,212,218,219,220,229,230,231,237,238,239,535,545 f/l/a/a.java, line(s) 44 f/l/a/b/d.java, line(s) 275,118,258 f/l/a/f.java, line(s) 119 f/l/a/i.java, line(s) 51 f/l/a/r.java, line(s) 169 f/m/a/e0.java, line(s) 185 f/n/a/c.java, line(s) 271,319,415,500,515,556,569,575,592,596,816,833,903,948,962,980,1100,1109,323,439,1104 f/n/a/d.java, line(s) 29,40 j/a/a/d/d.java, line(s) 32,44,38,20,14,26 j/b/a/c.java, line(s) 57,81,54,139,146,152 n/a/a/a.java, line(s) 99,113,141,149,153 n/a/a/f.java, line(s) 132,131 sk/fourq/otaupdate/OtaUpdatePlugin.java, line(s) 91,153,93
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/example/gdclient/MainActivity.java, line(s) 55,54,53 f/i/a/h/c.java, line(s) 112,26,111,110 f/k/p0.java, line(s) 146,215 k/i0/h/e.java, line(s) 124,122,121,121
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/example/gdclient/MainActivity.java, line(s) 95,95,98,98
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (adiu.amap.com) 通信。
{'ip': '49.79.227.227', 'country_short': '_\x06\x00\x8d_\x06\x00\x8e_\x06\x00\x90_\x06\x00\x91_\x06\x00\x98_\x06\x00\x99_\x06\x00\x9d_\x06\x00\x9e_\x06\x00¢_\x06\x00£_\x06\x00¤_\x06\x00¥_\x06\x00¥_\x06\x00¦_\x06\x00¬_\x06\x00\xad_\x06\x00¯_\x06\x00°_\x06\x00¸_\x06\x00¹_\x06\x00Û_\x06\x00Ü_\x06\x00Ü_\x06\x00Ü_\x06\x00ð_\x06\x00ð_\x06\x00C`\x06\x00D`\x06\x00n`\x06\x00n`\x06\x00\x8c`\x06\x00\x8d`\x06\x00Ý`\x06\x00Þ`\x06', 'country_long': '中国', 'region': '河北', 'city': '石家庄', 'latitude': '38.041599', 'longitude': '114.478081'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (cloud.tencent.com) 通信。
{'ip': '49.79.227.227', 'country_short': '¯\x8f\t}G\x92\tCDþAïîïB\x00\x80P1wl\x8f\t]¯\x8f\tÅJ\x9d\t\x07\x8eüAÜ\x93ðB\x00\x9dP1wl\x8f\t]¯\x8f\t;×\x97\t\x06\x1f\x00Bã¿ñB\x00\x9eP1wl\x8f\t]¯\x8f\tÅJ\x9d\t\x07\x8eüAÜ\x93ðB\x00\x00Q1wl', 'country_long': '中国', 'region': 'ki\x08Shintoku\tShinyanga\x08Shiocton\x08Shiogama\x08Shiojiri\x08Shiokawa\x07Shionoe\tShipborne\x08Shipdham\x06Shipka\x07Shipl', 'city': '连云港', 'latitude': '34.600025', 'longitude': '119.166847'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (lbs.amap.com) 通信。
{'ip': '49.79.227.227', 'country_short': 'anto\x06Shimla\x0cShimo-furano\x0bShimo-onuki\x08Shimoaka\x07Shimoga\x14Shimokoshikicho-aose\x07Shimoni\x0bShimonoseki\x06Shimsk\x04Shin\x06Sh', 'country_long': '中国', 'region': '江苏', 'city': '南通', 'latitude': '32.030296', 'longitude': '120.874779'}