安全分析报告:
安全分数
安全分数 39/100
风险评级
等级
- A
- B
- C
- F
严重性分布 (%)
隐私风险
6
用户/设备跟踪器
调研结果
高危
27
中危
84
信息
3
安全
3
关注
11
高危 应用程序存在Janus漏洞
应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。
高危 基本配置不安全地配置为允许到所有域的明文流量。
Scope: *
高危 Activity (com.apkpure.aegon.main.activity.SplashActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.aegon.main.activity.MainTabActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.components.xinstaller.XInstallerActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.tencent.qqlive.module.videoreport.scheme.SchemeRouterActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.aegon.plugin.runtime.PluginSingleInstance1ProxyActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.aegon.plugin.runtime.PluginSingleTask1ProxyActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.components.xinstaller.RestartActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.pop.QDNSActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.components.xinstaller.receiver.SessionInstallReceiverActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.apkpure.components.xinstaller.receiver.UnInstallReceiverActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.san.core.CommonStartOpenActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.san.core.CommonProtectActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.san.az.AdAppOperator) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.san.proaz.OutProAzImproveActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 Activity (com.san.proactive.OutProActiveImproveActivity) 的启动模式不是standard模式
Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
高危 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击
如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-7 Files: ml/qdab.java, line(s) 30,9 ml/qdaf.java, line(s) 108,13,14 vp/qdaa.java, line(s) 75,6
高危 使用弱加密算法
使用弱加密算法 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: nr/qdac.java, line(s) 205 or/qdac.java, line(s) 923,949 or/qdcb.java, line(s) 51,72,85
高危 默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
默认情况下,调用Cipher.getInstance("AES")将返回AES ECB模式。众所周知,ECB模式很弱,因为它导致相同明文块的密文相同
https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode
Files:
com/apkpure/aegon/utils/qdaa.java, line(s) 54,270
高危 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。
应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/apkpure/aegon/utils/qdaa.java, line(s) 30,255 com/ola/qsea/b/a.java, line(s) 42 tv/qdad.java, line(s) 67
高危 WebView域控制不严格漏洞
WebView域控制不严格漏洞 Files: com/just/agentweb/qdaa.java, line(s) 75,46 com/vungle/warren/ui/view/qdca.java, line(s) 16,10
高危 SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击
SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#android-network-apis Files: lw/qdaf.java, line(s) 7,8,3 pt/qdae.java, line(s) 9,10,3
高危 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/apkpure/aegon/app/client/qdda.java, line(s) 253 e8/qdac.java, line(s) 65 jr/qdae.java, line(s) 133
高危 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: ao/qdab.java, line(s) 11 q6/qdac.java, line(s) 88
高危 应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文
应用程序在加密算法中使用ECB模式。ECB模式是已知的弱模式,因为它对相同的明文块[UNK]产生相同的密文 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-block-cipher-mode Files: bo/qdaf.java, line(s) 126,138 zn/qdaa.java, line(s) 203,213
高危 应用程序包含隐私跟踪程序
此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true] 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
中危 Activity (com.apkpure.aegon.main.activity.AppManagerActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.facebook.CustomTabActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.keepalive.AlphaService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.keepalive.BetaService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.aegon.services.AutoInstallService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_ACCESSIBILITY_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.apkpure.aegon.application.RealApplicationLike$FTNetworkReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.apkpure.aegon.app.event.SystemBootEvent$Receiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.RECEIVE_BOOT_COMPLETED [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (com.apkpure.aegon.app.event.SystemPackageEvent$Receiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.apkpure.aegon.person.event.NotificationEvent) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.apkpure.aegon.event.receiver.PowerConnectionReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.apkpure.aegon.event.receiver.BatteryLevelReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.android.gms.analytics.CampaignTrackingReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.aegon.services.PushFirebaseMessagingService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.tencent.qqlive.module.videoreport.scheme.SchemeRouterActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.huawei.hms.support.api.push.service.HmsMsgService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.aegon.plugin.push.hw.HwHostDemoHmsMessageService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.apkpure.assistant.syscomponent.ContactsProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent.MediaBrowserService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.apkpure.assistant.syscomponent.AppInfoProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent.MediaRouteProviderService2) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent.MediaRouteProviderService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent2.OppoCycleService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.apkpure.assistant.syscomponent2.SamsungCommandProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.apkpure.assistant.syscomponent2.VivoVoiceDemoProvider) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.vivo.permission.VOICE_INTERACT_PROVIDER [android:exported=true] 发现一个 Content Provider被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Content Provider (com.apkpure.assistant.syscomponent.DocumentsProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.apkpure.pop.QDNSActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Broadcast Receiver (com.apkpure.assistant.syscomponent3.MediaButtonReceiver) 未被保护。
[android:exported=true] 发现 Broadcast Receiver与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent3.MediaPlaybackService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent3.PrintService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_PRINT_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.apkpure.assistant.syscomponent3.TTSService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ControlsService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_CONTROLS [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Service (com.apkpure.assistant.syscomponent4.VanishingArtService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.McGradyPeService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.RebootService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.AppMarketService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.IUHostManagerService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ReservedService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.CloudSettingsService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.GMSService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ColorSafeService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ColorGestureService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.OpenUDIDService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.TgpaService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ProfileStartService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.KvStartService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.SearchStartService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.DistributedDataStartService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.CodebookSyncService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.ColorMmsService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.EidV2Service) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (com.apkpure.assistant.syscomponent4.EidService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Content Provider (com.apkpure.assistant.syscomponent3.MomoSdkSupportProvider) 未被保护。
[android:exported=true] 发现 Content Provider与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity设置了TaskAffinity属性
(com.apkpure.pop.TransparentActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity (com.apkpure.pop.TransparentActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.apkpure.loong.GameActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Activity (com.google.android.gms.tagmanager.TagManagerPreviewActivity) 未被保护。
[android:exported=true] 发现 Activity与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Activity设置了TaskAffinity属性
(com.san.proaz.OutProAzImproveActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Activity设置了TaskAffinity属性
(com.san.proactive.OutProActiveImproveActivity) 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名
中危 Service (com.san.a.strategy.notification.AliveNotifyService) 未被保护。
[android:exported=true] 发现 Service与设备上的其他应用程序共享,因此可被设备上的任何其他应用程序访问。
中危 Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
Permission: android.permission.DUMP [android:exported=true] 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (999)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (999)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 高优先级的Intent (1000)
[android:priority] 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。
中危 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: a7/qdac.java, line(s) 26,27 ab/qdbb.java, line(s) 53 b1/qdag.java, line(s) 9 bj/qdag.java, line(s) 47 bx/qdbb.java, line(s) 133,138 com/apkmatrix/components/clientupdatev2/qdac.java, line(s) 646 com/apkmatrix/components/downloader/qdaa.java, line(s) 68 com/apkmatrix/components/downloader/services/DownloadService.java, line(s) 236 com/apkmatrix/components/downloader/utils/qdab.java, line(s) 69 com/apkpure/aegon/access/qdaa.java, line(s) 24 com/apkpure/aegon/app/assetmanager/qdbb.java, line(s) 365 com/apkpure/aegon/garbage/clean/qdbb.java, line(s) 323,324 com/apkpure/aegon/main/activity/SplashActivity.java, line(s) 616 com/apkpure/aegon/popups/notification/view/adapter/logic/qdbc.java, line(s) 126,127 com/apkpure/aegon/utils/autodownload/qdab.java, line(s) 564 com/apkpure/aegon/utils/m.java, line(s) 49 com/apkpure/clean/appcleaner/core/files/qdac.java, line(s) 121,124,131 com/apkpure/clean/appcleaner/core/qdae.java, line(s) 53 com/apkpure/clean/qdaa.java, line(s) 408,411,417 com/apkpure/components/xinstaller/permission/StorePermissionActivity.java, line(s) 67,69 com/apkpure/components/xinstaller/utils/qdac.java, line(s) 29 com/san/mads/mraid/qdbh.java, line(s) 100,249 com/tencent/halley/QDDownloader.java, line(s) 467,469 com/tencent/qmsp/sdk/d/b.java, line(s) 59 com/tencent/qqdownloader/waterdrop/core/utils/DeviceUtils.java, line(s) 19,46 com/tencent/qqdownloader/waterdrop/core/utils/FileUtil.java, line(s) 132,255 com/vungle/warren/VungleApiClient.java, line(s) 552,595,651,695 com/vungle/warren/persistence/qdaa.java, line(s) 368,369 com/vungle/warren/utility/qdad.java, line(s) 490,516 com/yalantis/ucrop/util/FileUtils.java, line(s) 136 dk/qdaa.java, line(s) 126,152 dn/qdce.java, line(s) 90,100 dt/qdba.java, line(s) 25 e8/qdac.java, line(s) 33,34 em/qdac.java, line(s) 128,131 es/qdaa.java, line(s) 158,160 fh/qdad.java, line(s) 51 fh/qdaf.java, line(s) 51 fk/qdab.java, line(s) 151,152 fm/qdcd.java, line(s) 19 fm/qddf.java, line(s) 32,43 h8/qdaa.java, line(s) 392 h9/qdab.java, line(s) 150,34,72,73,128,212 hx/qdac.java, line(s) 127,144,151 k5/qdbd.java, line(s) 291,292,368 ka/qdab.java, line(s) 147 nj/qdag.java, line(s) 78,79,14,15,22,77 ns/qdab.java, line(s) 190 oj/qdab.java, line(s) 213,214,215,217,248,261 or/qdab.java, line(s) 461 p/qdbd.java, line(s) 77 uh/qdad.java, line(s) 25,28,31 uh/qdah.java, line(s) 127,41,42,129 uj/qdaf.java, line(s) 175,178 wr/qdaa.java, line(s) 515,516,537,540 xl/qdad.java, line(s) 281,284 xn/qdab.java, line(s) 41
中危 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: c2/qdaa.java, line(s) 5,6,7,8,45 cm/qdaa.java, line(s) 8,9,10,181 com/apkpure/aegon/cms/adapter/qdfb.java, line(s) 3,37 com/vungle/warren/persistence/DatabaseHelper.java, line(s) 7,8,89 com/vungle/warren/persistence/qdaa.java, line(s) 8,394 cu/qdae.java, line(s) 7,8,49 e/qdah.java, line(s) 4,1375 gf/qdaa.java, line(s) 6,188 gk/qdaa.java, line(s) 4,5,34 gk/qdae.java, line(s) 5,6,301 gt/qdaa.java, line(s) 5,6,15 hd/qdag.java, line(s) 4,30 hv/qdab.java, line(s) 4,5,30 id/qdbb.java, line(s) 4,32 id/qdbc.java, line(s) 3,40 id/qdbe.java, line(s) 4,5,94 id/qdca.java, line(s) 4,5,157 jk/qdaa.java, line(s) 7,8,472 l/qdab.java, line(s) 5,6,26 lj/qdaa.java, line(s) 5,6,34 q6/qdaa.java, line(s) 4,32 qg/qdae.java, line(s) 5,6,53 qg/qdag.java, line(s) 6,31 rl/qdaa.java, line(s) 4,5,127 rv/qdaa.java, line(s) 7,8,85 tm/qdac.java, line(s) 6,127 wm/qdaa.java, line(s) 5,6,34 xj/qdba.java, line(s) 6,7,8,70 y4/qdaf.java, line(s) 6,207 zk/qdad.java, line(s) 5,6,371 zs/qdaa.java, line(s) 6,7,228
中危 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ao/qdac.java, line(s) 418 bo/qdaf.java, line(s) 119 com/apkpure/aegon/ads/topon/nativead/qdah.java, line(s) 195 com/apkpure/aegon/person/login/qdac.java, line(s) 136 com/apkpure/aegon/utils/qdaa.java, line(s) 281,281 com/apkpure/aegon/utils/qdde.java, line(s) 300 com/apkpure/aegon/utils/qdeh.java, line(s) 72 com/tencent/qmsp/sdk/g/g/e.java, line(s) 97 ef/qdae.java, line(s) 91 nr/qdac.java, line(s) 455 of/qdag.java, line(s) 74 oq/qdab.java, line(s) 50 or/qdce.java, line(s) 62 tf/qdab.java, line(s) 70 ye/qdaf.java, line(s) 32 zn/qdaa.java, line(s) 197
中危 IP地址泄露
IP地址泄露 Files: com/apkpure/components/clientchannel/channel/headers/HostAppInfo.java, line(s) 167 com/ola/qsea/d/c.java, line(s) 257,268 com/san/ads/core/qdba.java, line(s) 761 com/tencent/raft/measure/BuildConfig.java, line(s) 7 com/tencent/raft/raftframework/BuildConfig.java, line(s) 7 com/tencent/raft/raftframework/constant/RAFTConstants.java, line(s) 7 com/tencent/raft/raftframework/sla/SLAReporter.java, line(s) 307,218 rs/qdad.java, line(s) 173,175 tj/qdac.java, line(s) 89 xl/qdac.java, line(s) 46,391,411 yl/qdad.java, line(s) 177
中危 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: ao/qdaa.java, line(s) 125 com/apkpure/aegon/access/qdba.java, line(s) 33,57 com/apkpure/aegon/app/assetmanager/qdbb.java, line(s) 127 com/apkpure/aegon/app/newcard/impl/ExclusiveCard.java, line(s) 710 com/apkpure/aegon/reshub/qdac.java, line(s) 89 com/apkpure/aegon/services/UltraDownloadService.java, line(s) 234 com/apkpure/aegon/utils/qdag.java, line(s) 19 com/apkpure/aegon/utils/qdde.java, line(s) 409 com/apkpure/aegon/utils/qdeh.java, line(s) 51 com/apkpure/components/xinstaller/utils/qdab.java, line(s) 50 com/ola/qsea/l/a.java, line(s) 30 com/tencent/qmsp/sdk/a/c.java, line(s) 95,137 com/tencent/qmsp/sdk/d/a.java, line(s) 17 com/tencent/qmsp/sdk/g/b/c.java, line(s) 103 com/tencent/qqdownloader/waterdrop/core/utils/FileUtil.java, line(s) 202 com/tencent/shadow/core/utils/Md5.java, line(s) 26 com/tencent/shadow/dynamic/host/DynamicPluginApiManager.java, line(s) 46 gm/qdac.java, line(s) 23 hx/qdad.java, line(s) 57 mt/qdaa.java, line(s) 458,484 nh/qdaf.java, line(s) 51 nj/qdae.java, line(s) 236 or/qdac.java, line(s) 2282 or/qdag.java, line(s) 19 ug/qdab.java, line(s) 137 z2/qdad.java, line(s) 190
中危 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: av/qdae.java, line(s) 3 br/qdab.java, line(s) 3 ck/qdcd.java, line(s) 22 cl/qdab.java, line(s) 9 cl/qdac.java, line(s) 22 com/apkpure/aegon/aigc/qdfd.java, line(s) 27 com/apkpure/aegon/cms/activity/PictureBrowseActivity.java, line(s) 43 com/apkpure/aegon/garbage/view/GarbageCleaningCusIconView.java, line(s) 12 com/apkpure/aegon/garbage/view/GarbageCleaningView.java, line(s) 15 com/apkpure/aegon/network/server/qdbg.java, line(s) 21 com/apkpure/aegon/utils/qdce.java, line(s) 9 com/apkpure/aegon/utils/qdcf.java, line(s) 13 com/apkpure/components/xpermission/fragment/PermissionFragment.java, line(s) 18 com/ola/qsea/l/a.java, line(s) 12 com/ola/qsea/p/k.java, line(s) 11 com/ola/qsea/p/p.java, line(s) 8 com/ola/qsea/t/c.java, line(s) 4 com/sackcentury/shinebuttonlib/qdad.java, line(s) 12 com/san/xz/service/IXzService.java, line(s) 47 com/tencent/qmsp/sdk/f/c.java, line(s) 6 ej/qdac.java, line(s) 12 hl/qdac.java, line(s) 14 i9/qdaa.java, line(s) 21 iq/qdah.java, line(s) 12 k5/qdad.java, line(s) 15 mk/qdaa.java, line(s) 19 or/qdac.java, line(s) 81 or/qdcb.java, line(s) 6 or/qdcc.java, line(s) 8 or/qdce.java, line(s) 10 r7/qdab.java, line(s) 91 tj/qdac.java, line(s) 20 tu/qdaa.java, line(s) 3 tu/qdab.java, line(s) 3 uu/qdaa.java, line(s) 3 zk/qdaa.java, line(s) 11 zq/qdah.java, line(s) 10
中危 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: ax/qdaa.java, line(s) 200 b2/qdaa.java, line(s) 408 cl/qdbf.java, line(s) 50 com/apkpure/aegon/ads/topon/interstitial/qdaf.java, line(s) 41 com/apkpure/aegon/ads/topon/nativead/qdab.java, line(s) 37 com/apkpure/aegon/ads/topon/nativead/v2/qdaa.java, line(s) 41 com/apkpure/aegon/db/dao/qdbf.java, line(s) 32 com/apkpure/aegon/plugin/topon/api1/ATAdConst.java, line(s) 96 com/apkpure/aegon/plugin/topon/api1/nativead/CustomNativeAd.java, line(s) 11 com/apkpure/aegon/popups/notification/view/adapter/logic/qdbh.java, line(s) 181 com/apkpure/components/clientchannel/channel/headers/UserInfo.java, line(s) 169 com/tencent/assistant/dynamic/host/api/ShadowConstants.java, line(s) 11 com/tencent/halley/QDDownloaderInitParam.java, line(s) 9 com/tencent/raft/raftframework/remote/RAFTRemoteProxy.java, line(s) 16 d8/qdaa.java, line(s) 62 nq/qdab.java, line(s) 46 ok/qdab.java, line(s) 35 tm/qdae.java, line(s) 33 ub/qdag.java, line(s) 55 ww/qdaa.java, line(s) 127 xb/qdaf.java, line(s) 37 xb/qdca.java, line(s) 89 xb/qdcg.java, line(s) 81 xo/qdad.java, line(s) 97,97 z4/qdab.java, line(s) 37
中危 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 269 tf/qdac.java, line(s) 49
中危 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/pierfrancescosoffritti/androidyoutubeplayer/core/player/views/qdaf.java, line(s) 36,33
中危 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 华为HMS Core 应用ID的=> "com.huawei.hms.client.appid" : "appid=106420291" 凭证信息=> "com.san.APP_KEY" : "7770d15c-d4d1-4d15-b9f9-222447d5f296" 灯塔 SDK的=> "APPKEY_DENGTA" : "0AND02Z8WN41BWCA" AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-1702223634761761~4008239917" "google_api_key" : "AIzaSyAqCv41AHdy_xRNJT9JF4S47LWws5PqiPM" "ad_wall_cms_url_key" : "AdWallUrl" "google_crash_reporting_api_key" : "AIzaSyAqCv41AHdy_xRNJT9JF4S47LWws5PqiPM" "firebase_database_url" : "https://apkpure-firebase.firebaseio.com" 4389e2930a52ffc49579340c59e5ae66 3548963804e00fb4fb9ba23ef7c5398d MCwwDQYJKoZIhvcNAQEBBQADGwAwGAIRAMRB/Q0hTCD+XtnQhpQJefUCAwEAAQ== MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCv2mDDXJjzMX+AwRNaP9IicoT0 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 750754650f61eeb5552161d2bc638cfb d33cb23fd17fda8ea38be504929b77ef n+CFluDer7LiiDa6j77if5dbcvWUrJbgvhKqaEhWnMDXT1pAG2KxL/pNFAYguSLpO L2V0Yy9wcmVfaW5zdGFsbC5hcHBzZmx5ZXI= Y29tLmFwcHNmbHllci5NdWx0aXBsZUluc3RhbGxCcm9hZGNhc3RSZWNlaXZlcg== aWNvbiAoMSkucG5nXzE3MDE2NzE3NDAyODA/image e2lzX3ByZV9pbnN0YWxsfQ== cm8uYXBwc2ZseWVyLnByZWluc3RhbGwucGF0aA== 3f2dced8-212f-44e8-9502-274a23c245ae MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCv2mDDXJjzMX+AwRNaP9IicoT01urAb8BJN4LSuujQ33YMnMJ2ERdfN+ew9MD6Ip+hVNPkm+6EjVNGMhDv1QhVYcWD4ojetgQb/Y59Pjr7lbeafcGYDxHvfpafA9Rbn6itXdRWE8lFXfqRmO2fZ8PRFmG19TQTpbW0Px80ZczoywIDAQAB D6KeS5qCHLnBuZ18xNjYwMjg0ODU0NDMy/image n1urAb8BJN4LSuujQ33YMnMJ2ERdfN+ew9MD6Ip+hVNPkm+6EjVNGMhDv1QhVYcWD 02434ec0969e811e8d211a4583ce2cbfa86ac312 e17c3afcb39f045e86bb279bd8fc48dc 6286157287862c977f37336a 470fa2b4ae81cd56ecbcda9735803434cec591fa L2RhdGEvbG9jYWwvdG1wL3ByZV9pbnN0YWxsLmFwcHNmbHllcg== YWRqdXN0LnByZWluc3RhbGwucGF0aA== Y29tLmFwcHNmbHllci5TaW5nbGVJbnN0YWxsQnJvYWRjYXN0UmVjZWl2ZXI= eyJhZF9kbnNfc3dpdGNoIjp0cnVlLCJhZF9kbnNfbGlzdCI6W3siaG9zdCI6ImFwaS5teWFkc2dldC5jb20iLCJpcHMiOiIxMy4yNDguMjQ0LjkyLDc2LjIyMy4xMTMuMTgwIn0seyJob3N0Ijoic2FuLm15YWRzc3VwcG9ydC5jb20iLCJpcHMiOiI3NS4yLjM5LjEyMCw5OS44My4xNTUuMTg1In1dfQ== Y29tLmFkanVzdC5wcmVpbnN0YWxs L2RhdGEvbG9jYWwvdG1wL2FkanVzdC5wcmVpbnN0YWxs d171d69980e0521ebd3cdbe0595e416a bGV2ZWxfaXBhX3RzcmlmLnRjdWRvcnAub3I= 26622f8e-bc23-46dd-9390-488a5bc13055 c4f2343259126bfdb33056e9f67be789 610751774d4d7ea4bc220397cb05d268 n4ojetgQb/Y59Pjr7lbeafcGYDxHvfpafA9Rbn6itXdRWE8lFXfqRmO2fZ8PRFmG1 aAbBcCdDeEfFgGhHiIjJkKlLmMnNoOpPqQrRsStTuUvVwWxXyYzZ0123456789
信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: ac/qdaa.java, line(s) 47 aw/qdce.java, line(s) 52 aw/qddh.java, line(s) 675 bc/qdac.java, line(s) 38 bc/qdae.java, line(s) 99 bc/qdcc.java, line(s) 107 bd/qdca.java, line(s) 24 bf/qdaa.java, line(s) 49 bx/qdbb.java, line(s) 79 c3/qdba.java, line(s) 31 cf/qdab.java, line(s) 66,77 com/apkpure/aegon/app/activity/qdab.java, line(s) 192 com/apkpure/aegon/pages/AppDetailFFragment.java, line(s) 1131 com/apkpure/aegon/person/activity/qdaa.java, line(s) 213,242,279,282,303,513,518 com/apkpure/aegon/v2/app/detail/a.java, line(s) 25 com/apkpure/clean/activity/qdad.java, line(s) 88,90 com/apkpure/clean/adapter/appclean/filelist/qdaa.java, line(s) 122 com/apkpure/components/xinstaller/parser/xml/XmlPullParserException.java, line(s) 40 com/apkpure/proto/nano/LogRequestProtos.java, line(s) 131 com/tencent/qqdownloader/waterdrop/core/common/Reporter.java, line(s) 35 com/tencent/qqdownloader/waterdrop/sdk/WaterDropSDK.java, line(s) 165,250 com/tencent/raft/measure/RAFTMeasure.java, line(s) 28 com/tencent/raft/measure/report/ATTAReporter.java, line(s) 62,84,90,127 com/tencent/raft/raftannotation/utils/Log.java, line(s) 11,15,19,23,27 com/tencent/raft/raftframework/RAApplicationContext.java, line(s) 213,236,248,291,90,202 com/tencent/raft/raftframework/config/check/DefaultProcessCheck.java, line(s) 25 com/tencent/raft/raftframework/declare/RADeclareManager.java, line(s) 40,42,65 com/tencent/raft/raftframework/remote/RAFTIPCMainProcessorImpl.java, line(s) 17 com/tencent/raft/raftframework/remote/RAFTRemoteHandler.java, line(s) 81,30,43,56 com/tencent/raft/raftframework/remote/RAFTRemoteProxy.java, line(s) 31,78,85,95 com/tencent/raft/raftframework/remote/RemoteProxyUtil.java, line(s) 48,62,67,192,212,218,358 com/tencent/raft/raftframework/service/RAServiceManager.java, line(s) 41,54,56,86 com/tencent/raft/raftframework/service/RServiceManager.java, line(s) 22,124,168,26,62,68,74 com/tencent/raft/raftframework/sla/SLAReporter.java, line(s) 166,226,242,172 com/tencent/raft/raftframework/util/AppUtils.java, line(s) 27,41,51,64 com/tencent/raft/raftframework/util/ProcessUtil.java, line(s) 66,43 com/yalantis/ucrop/util/ImageHeaderParser.java, line(s) 500,509,513,535,541,546,559,566,605,611 cw/qdab.java, line(s) 240,268,276 cx/qdag.java, line(s) 134,199 d/qdah.java, line(s) 38 d/qdbb.java, line(s) 44,68,79,82 df/qdab.java, line(s) 62,114 dv/qdad.java, line(s) 89 e7/qdcb.java, line(s) 47,118 ec/qdac.java, line(s) 57,65,90 ec/qdah.java, line(s) 21,24 ec/qdbe.java, line(s) 115,397,412,436,477,537,558,571,628,649,657,671,692,700 ec/qdcb.java, line(s) 119 ec/qdch.java, line(s) 113,120,132 ec/qddc.java, line(s) 108 ef/qdad.java, line(s) 45,47,50,69,90 ef/qdae.java, line(s) 134,144,148,154 f2/qdcg.java, line(s) 64,50,57,71,117,165,184 fd/qdaa.java, line(s) 8 fm/qddf.java, line(s) 179 hd/qdaa.java, line(s) 69 hd/qdad.java, line(s) 95 i0/qdac.java, line(s) 443 ic/qdaa.java, line(s) 146,155,161,169,175 ic/qdah.java, line(s) 44 id/qdbe.java, line(s) 220 k0/qdae.java, line(s) 786,831,877 kc/qdad.java, line(s) 36,65,85 kc/qdba.java, line(s) 249 kc/qdbd.java, line(s) 63,69 l1/qdaa.java, line(s) 111 n1/qdaa.java, line(s) 459 nb/qdaa.java, line(s) 58 nc/qdah.java, line(s) 21 oc/qdad.java, line(s) 46,102 oc/qdbc.java, line(s) 49,105 of/qdac.java, line(s) 43,97,126 of/qdbd.java, line(s) 40,50 of/qdbf.java, line(s) 27 of/qdbg.java, line(s) 53,55,58,61,81,92,114 oq/qdac.java, line(s) 493,501 or/qdac.java, line(s) 2443,1835 pw/qdaa.java, line(s) 108,123,146,155 qb/qdaa.java, line(s) 310 r7/qdab.java, line(s) 1047 rb/qdad.java, line(s) 203,228 rb/qdae.java, line(s) 116,146,161 s0/qdcg.java, line(s) 160,192,226,304,314,336,344 sb/qdaa.java, line(s) 85 sc/qdaa.java, line(s) 48 tb/qdaa.java, line(s) 35 tb/qdad.java, line(s) 44 tb/qdah.java, line(s) 55,119,156,163,174 tb/qdba.java, line(s) 84,316,350,383,389,415,426 th/qdab.java, line(s) 206 tw/qdab.java, line(s) 22,41,15,34,11,30,17,36 tw/qdaf.java, line(s) 42,95,131,182,55,144,212 tw/qdag.java, line(s) 25 u3/qdad.java, line(s) 203 ue/qdaa.java, line(s) 29,35,39 ue/qdac.java, line(s) 18 vb/qdab.java, line(s) 69 vb/qdbb.java, line(s) 93,141,145,147,153 vb/qdbd.java, line(s) 54 ve/qdab.java, line(s) 45 ve/qdac.java, line(s) 53 vv/qdcg.java, line(s) 52 vv/qdeb.java, line(s) 524 wb/qdaa.java, line(s) 122,151,200 we/qdac.java, line(s) 38,41,44 we/qdad.java, line(s) 27 wf/qdac.java, line(s) 115,122,175,186 wf/qdag.java, line(s) 97 wf/qdbf.java, line(s) 78 wf/qdce.java, line(s) 71,74 wf/qdcf.java, line(s) 51,52,90,147,148 ww/qdaa.java, line(s) 78,94,103,110,129,163,190,183 xb/qdbb.java, line(s) 212,275,432 xb/qdbc.java, line(s) 144 xb/qdbe.java, line(s) 18 xb/qddb.java, line(s) 49 xe/qdac.java, line(s) 8 yb/qdba.java, line(s) 187,219 yb/qdbb.java, line(s) 50,60,89,92,99,147,159,163,180,190,193 ye/qdag.java, line(s) 111 ye/qdbb.java, line(s) 34 ye/qdbh.java, line(s) 21 ye/qdcb.java, line(s) 48 ye/qdcd.java, line(s) 29,43 ye/qdce.java, line(s) 167,197,222,335,352,394,439,466,586,626,662,668,674,743,782,787,839,842,870,938,942,945,949,950,956 ye/qddc.java, line(s) 93,104,140,168,170,182 ye/qddd.java, line(s) 27 ye/qddh.java, line(s) 38,43,47,52,59 ye/qdea.java, line(s) 97 ye/qded.java, line(s) 29,32,37 ye/qdeg.java, line(s) 49,67,70,77,103 ye/qdfb.java, line(s) 59,319,321,324,328 zb/qdae.java, line(s) 44,76,86,95 zb/qdbb.java, line(s) 89 zc/qdaa.java, line(s) 156,235,345
信息 应用程序可以写入应用程序目录。敏感信息应加密
应用程序可以写入应用程序目录。敏感信息应加密 Files: com/apkpure/aegon/ads/referrermock/qdaa.java, line(s) 239,239 com/apkpure/aegon/ads/taboola/qdah.java, line(s) 136,136 com/apkpure/aegon/ads/taboola/qdcg.java, line(s) 125,125 com/apkpure/aegon/main/activity/MainTabActivity.java, line(s) 818,827,873,818,827,873 com/apkpure/aegon/main/activity/SplashActivity.java, line(s) 666,690,1098,666,690,1098 com/apkpure/aegon/main/activity/qdae.java, line(s) 156,156 com/apkpure/aegon/main/activity/qdca.java, line(s) 82,152,82,152 com/apkpure/aegon/main/activity/qdcc.java, line(s) 108,145,164,384,108,145,164,384 com/apkpure/aegon/minigames/qdaf.java, line(s) 37,37 com/apkpure/aegon/popups/install/qdah.java, line(s) 425,425 com/apkpure/aegon/signstuff/apk/qddb.java, line(s) 109,117,109,117 com/apkpure/aegon/utils/qdfg.java, line(s) 707,707 com/apkpure/aegon/utils/welfare/qdac.java, line(s) 229,229 com/apkpure/aegon/utils/welfare/qdbe.java, line(s) 38,38 com/apkpure/aegon/widgets/bottomnavigation/qdae.java, line(s) 53,67,144,53,67,144 oq/qdac.java, line(s) 361,361
信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/apkpure/aegon/app/activity/OperationToolsActivity.java, line(s) 5,527,885,1242,1599,524,882,1239,1596 com/apkpure/aegon/pages/ScanQrResultFragment.java, line(s) 4,61 com/apkpure/aegon/person/activity/DeviceInfoActivity.java, line(s) 4,39 com/apkpure/aegon/utils/qdcb.java, line(s) 4,36
安全 此应用程序使用Safety Net API。
此应用程序使用Safety Net API。 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#safetynet Files: com/apkpure/aegon/utils/qddc.java, line(s) 5
安全 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: ye/qdag.java, line(s) 187,187,190
安全 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: lx/qdac.java, line(s) 196,356,484
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (firebase-settings.crashlytics.com) 通信。
{'ip': '129.226.103.247', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (projecta-common-1258344701.file.myqcloud.com) 通信。
{'ip': '122.224.48.93', 'country_short': 'CN', 'country_long': '中国', 'region': '浙江', 'city': '绍兴', 'latitude': '30.011021', 'longitude': '120.573830'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vibeacon.onezapp.com) 通信。
{'ip': '45.33.36.159', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (htrace.wetvinfo.com) 通信。
{'ip': '45.33.36.159', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pv.sohu.com) 通信。
{'ip': '122.224.48.93', 'country_short': 'CN', 'country_long': '中国', 'region': '江苏', 'city': '常州', 'latitude': '31.783331', 'longitude': '119.966667'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (fungogaming.com) 通信。
{'ip': '129.226.106.175', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (loong.huya.com) 通信。
{'ip': '114.132.126.59', 'country_short': 'CN', 'country_long': '中国', 'region': '北京', 'city': '北京', 'latitude': '39.907501', 'longitude': '116.397102'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (vibeaconstr.onezapp.com) 通信。
{'ip': '43.129.255.160', 'country_short': 'HK', 'country_long': '中国', 'region': '香港', 'city': '香港', 'latitude': '22.285521', 'longitude': '114.157692'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (ip.chinaz.com) 通信。
{'ip': '123.129.219.142', 'country_short': 'CN', 'country_long': '中国', 'region': '山东', 'city': '济南', 'latitude': '36.668331', 'longitude': '116.997223'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (app-measurement.com) 通信。
{'ip': '180.163.150.33', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}
关注 应用程序可能与位于OFAC制裁国家 (中国) 的服务器 (pagead2.googlesyndication.com) 通信。
{'ip': '180.163.151.38', 'country_short': 'CN', 'country_long': '中国', 'region': '上海', 'city': '上海', 'latitude': '31.224333', 'longitude': '121.468948'}