安全分析报告： wink mod pro 2025 v1.0

[android:usesCleartextTraffic=true]
应用程序打算使用明文网络流量，例如明文HTTP，FTP协议，DownloadManager和MediaPlayer。针对API级别27或更低的应用程序，默认值为“true”。针对API级别28或更高的应用程序，默认值为“false”。避免使用明文流量的主要原因是缺乏机密性，真实性和防篡改保护；网络攻击者可以窃听传输的数据，并且可以在不被检测到的情况下修改它。

[android:allowBackup=true]
这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。

存在一个intent-filter。
发现 Broadcast Receiver与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。

应用程序使用不安全的随机数生成器
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators

Files:
com/kcstream/cingmoe/MainActivity.java, line(s) 87
com/kcstream/cingmoe/SketchwareUtil.java, line(s) 29
com/kcstream/cingmoe/UpdateActivity.java, line(s) 17

应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据
https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage

Files:
com/kcstream/cingmoe/FileUtil.java, line(s) 149,473,145,153,163
com/kcstream/cingmoe/MainActivity.java, line(s) 570

向Firebase上传文件


Files:
com/kcstream/cingmoe/MainActivity.java, line(s) 1269,71

从应用程序中识别出以下机密确保这些不是机密或私人信息
"firebase_database_url" : "https://surxratprivate-default-rtdb.firebaseio.com"
"google_api_key" : "AIzaSyDI_MzYS51JhFyeY7IT2oPt9D0z_3OILcc"
"google_app_id" : "1:517916684441:android:6ebf1a61bc4ca8fe8e0808"
NJKAUFolhnVKy6VimpiHO80v1w/exec