WooYun.org

捕获登录通讯数据，其中登录密码仅采用MD5加密

二、 重放数据
退出登录后仍能重放数据，如登录、账户信息以及修改密码等都能重放。

上图为重放修改登录密码数据
三、 敏感信息（可查询他人账户信息）
查询账户信息的业务数据主要参数为customerId与signature，该两项均保存于本地文件中（yizhen_money_users.xml），
只需要获取该两项数据，即可查询他人账户信息。

上图为获取他人账户信息，不需要对方登录或在线状态
四、 组件拒绝服务
调用以下组件能够导致应用崩溃，可能会被竞争对手利用，影响用户体验。
adb shell am start com.android.yzloan/com.umeng.update.UpdateDialogActivity
adb shell am start com.android.yzloan/com.umeng.fb.ConversationActivity
adb shell am start com.android.yzloan/com.umpay.quickpay.UmpayActivity

五、 手势密码安全
绕过登录时校验手势密码流程
在回到应用时，应用需要校验之前设置好的手势密码，此时
可通过调用. adb shell am start com.android.yzloan/.view.MainScreen页面绕过校验流程，进入客户端