漏洞分析

0

高危漏洞

0

中危漏洞

0

低危漏洞

3

警告

文件名 1651773.apk
上传者 yyoungzou@yeah.net
文件大小 63.154643058777MB
MD5 1c2c553117b40d9d66bbdba0899f4558
包名 com.asia.aitribe.activity
Main Activity com.qihoo.util.StartActivity
Min SDK 14
Target SDK 22

权限列表

# 名称 说明 提示
0 android.permission.CALL_PHONE 允许应用程序在您不介入的情况下拨打电话。恶意应用程序可借此在您的话费单上产生意外通话费。请注意,此权限不允许应用程序拨打紧急呼救电话。 警告
1 android.permission.READ_SMS 允许应用程序读取您的手机或SIM卡中存储的短信。恶意应用程序可借此读取您的机密信息。 警告
2 android.permission.SEND_SMS 允许应用程序发送短信。恶意应用程序可能会不经您的确认就发送信息,给您带来费用。 警告
3 android.permission.ACCESS_COARSE_LOCATION 访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。 注意
4 android.permission.ACCESS_FINE_LOCATION 访问精准的位置源,例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置,并可能消耗额外的电池电量。 注意
5 android.permission.ACCESS_LOCATION_EXTRA_COMMANDS 访问额外的位置信息提供程序命令。恶意应用程序可借此干扰GPS或其他位置源的正常工作。 注意
6 android.permission.BLUETOOTH 允许应用程序查看本地蓝牙手机的配置,以及建立或接受与配对设备的连接。 注意
7 android.permission.GET_TASKS 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 注意
8 android.permission.READ_CONTACTS 允许应用程序读取您手机上存储的所有联系人(地址)数据。恶意应用程序可借此将您的数据发送给其他人。 注意
9 android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 注意
10 android.permission.RECEIVE_BOOT_COMPLETED 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 注意
11 android.permission.RECEIVE_SMS 允许应用程序接收和处理短信。恶意应用程序可借此监视您的信息,或者将信息删除而不向您显示。 注意
12 android.permission.RECORD_AUDIO 允许应用程序访问录音路径。 注意
13 android.permission.RECORD_AUDIO 允许应用程序访问录音路径。 注意
14 android.permission.SYSTEM_ALERT_WINDOW 允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。 注意
15 android.permission.WRITE_CONTACTS 允许应用程序修改您手机上存储的联系人(地址)数据。恶意应用程序可借此清除或修改您的联系人数据。 注意
16 android.permission.WRITE_SETTINGS 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 注意
17 android.permission.WRITE_SYNC_SETTINGS 允许应用程序修改同步设置,例如是否为\“联系人\”启用同步。 注意
18 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
19 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
20 android.permission.AUTHENTICATE_ACCOUNTS 允许应用程序使用AccountManager的帐户身份验证程序功能,包括创建帐户以及获取和设置其密码。 提示
21 android.permission.BLUETOOTH_ADMIN 允许应用程序配置本地蓝牙手机,以及发现远程设备并与其配对。 提示
22 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
23 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
24 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
25 android.permission.CHANGE_CONFIGURATION 允许应用程序更改当前配置,例如语言设置或整体的字体大小。 提示
26 android.permission.CHANGE_NETWORK_STATE 允许应用程序更改网络连接的状态。 提示
27 android.permission.CHANGE_WIFI_STATE 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 提示
28 android.permission.DISABLE_KEYGUARD 允许应用程序停用键锁和任何关联的密码安全设置。例如,在手机上接听电话时停用键锁,在通话结束后重新启用键锁。 提示
29 android.permission.FLASHLIGHT 允许应用程序控制闪光灯。 提示
30 android.permission.GET_ACCOUNTS 允许应用程序获取手机已知的帐户列表。 提示
31 android.permission.INTERNET 允许程序访问网络. 提示
32 android.permission.KILL_BACKGROUND_PROCESSES 无论内存资源是否紧张,都允许应用程序结束其他应用程序的后台进程。 提示
33 android.permission.MANAGE_ACCOUNTS 允许应用程序执行添加、删除帐户及删除其密码之类的操作。 提示
34 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许应用程序装载和卸载可移动存储器的文件系统。 提示
35 android.permission.READ_LOGS 允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况,但这些信息不应包含任何个人信息或保密信息。 提示
36 android.permission.READ_SYNC_SETTINGS 允许应用程序读取同步设置,例如是否为\“联系人\”启用同步。 提示
37 android.permission.READ_SYNC_STATS 允许应用程序读取同步统计信息;例如已发生的同步历史记录。 提示
38 android.permission.RESTART_PACKAGES 允许程序自己重启或重启其他程序 提示
39 android.permission.USE_CREDENTIALS 允许应用程序请求身份验证标记。 提示
40 android.permission.VIBRATE 允许应用程序控制振动器。 提示
41 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
42 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

com.asia.aitribe.activity.SplashActivity
com.qihoo.util.StartActivity
com.qihoo.util.appupdate.AppUpdateActivity
com.qihoo.util.CommonActivity
com.qihoo.ls.LsActivity
com.asia.aitribe.activity.GuideActivity
com.asia.aitribe.activity.MainActivity
com.asia.aitribe.activity.MainNewActivity
com.asia.aitribe.activity.WebViewNewActivity
com.asia.aitribe.activity.WebViewNewActivityHome
com.asia.aitribe.activity.PayoutActivity
com.asia.aitribe.activity.PayoutNewActivity
com.asia.aitribe.activity.SearchNewActivity
com.asia.aitribe.activity.SearchPeopleActivity
com.asia.aitribe.activity.ChatPeopleActivity
com.asia.aitribe.activity.GradRedEnvelopeActivity
com.asia.aitribe.activity.HomeHongbaoActivity
com.asia.aitribe.activity.GradReadFailureActivity
com.asia.aitribe.activity.LuckActivity
com.asia.aitribe.activity.IntegralActivity
com.asia.aitribe.activity.ApplyActivity
com.asia.aitribe.activity.ApplyNewActivity
com.asia.aitribe.activity.SaoMaActivity
com.asia.aitribe.activity.YaoYiYaoActivity
com.asia.aitribe.activity.AboutActivity
com.asia.aitribe.activity.OrgNameActivity
com.asia.aitribe.activity.GetTokenActivity
com.asia.aitribe.activity.NoticeActivity
com.asia.aitribe.activity.EidActivity
com.asia.aitribe.activity.LoginActivity
com.asia.aitribe.activity.LoginNewActivity
com.asia.aitribe.activity.ShowActivity
com.asia.aitribe.activity.AnnualMeetingActivity
com.asia.aitribe.activity.AnnualMeetingActivityHome
com.asia.aitribe.activity.TopicDetailActivityHome
com.asia.aitribe.activity.AitopicCategoryActivity
com.asia.aitribe.activity.AiBroadActivity
com.asia.aitribe.activity.AiInformationActivity
com.asia.aitribe.activity.AiTopicActivity
com.asia.aitribe.activity.AiBroadCastActivity
com.asia.aitribe.activity.AiShareCategoryActivity
com.asia.aitribe.activity.AiShareActivity
com.asia.aitribe.activity.TopicDetailActivity
com.asia.aitribe.activity.PostDetailActivity
com.asia.aitribe.activity.PostDetailVoiceActivity
com.asia.aitribe.activity.SharePostDetailActivity
com.asia.aitribe.activity.SharePostDetailVoiceActivity
com.asia.aitribe.activity.ShareAlbumActivity
com.asia.aitribe.activity.ImagePagerActivity
com.asia.aitribe.activity.PublishedActivity
com.asia.aitribe.activity.VoiceActivity
com.asia.aitribe.activity.ChosePicActivity
com.asia.aitribe.activity.ImageGridActivity
com.asia.aitribe.activity.PhotoActivity
com.asia.aitribe.activity.CommendWriteActivity
com.asia.aitribe.activity.CommendActivity
com.asia.aitribe.activity.WebViewActivity
com.asia.aitribe.activity.WebViewActivity_abstract
com.asia.aitribe.activity.MyPostListActivity
com.asia.aitribe.activity.SearchActivity
com.asia.aitribe.activity.MyServiceActivity
com.asia.aitribe.activity.FeedBackActivity
com.asia.aitribe.activity.GetWifiActivity
com.asia.aitribe.activity.ModifyAvatarActivity
com.asia.aitribe.activity.BasicInformationActivity
com.asia.aitribe.activity.EditIntroductionActivity
com.asia.aitribe.activity.ArticleWriteActivity
com.asia.aitribe.activity.ContactDetailActivity
com.asia.aitribe.activity.SettingActivity
com.asia.aitribe.activity.BasicNewInformationActivity
com.asia.aitribe.activity.AnnualMeetingNewUnStartActivity
com.asia.aitribe.activity.AnnualmeetingNewTotalActivity
com.asia.aitribe.activity.AnnualmeetingEventFinishedActivity
com.asia.aitribe.activity.AnnualmeetingWordUnstartActivity
com.asia.aitribe.activity.GuaGuaActivity
com.asia.aitribe.activity.ZiKuActivity
com.asia.aitribe.activity.NianHuiMessageActivity
com.asia.aitribe.activity.ZiKuActivity
com.asia.aitribe.activity.ApplicationAllActivity
com.asia.aitribe.activity.ApplicationActivityAll
com.asia.aitribe.activity.AnnualmeetingRestartActivity
com.gokuai.yunku.embed.activitys.LibraryListActivity
com.gokuai.yunku.embed.activitys.SettingActivity
com.gokuai.yunku.embed.activitys.AIPreviewActivity
com.gokuai.cloud.activitys.ActivitySend
com.gokuai.cloud.activitys.LibSpaceActivity
com.gokuai.cloud.activitys.FileListActivity
com.gokuai.cloud.activitys.PreviewActivity
com.gokuai.cloud.activitys.LibSettingActivity
com.gokuai.cloud.activitys.SearchActivity
com.gokuai.cloud.activitys.CreateLibraryActivity
com.gokuai.cloud.activitys.LibPermissionActivity
com.gokuai.cloud.activitys.LibPersonalActivity
com.gokuai.cloud.activitys.PermissionSelectActivity
com.gokuai.cloud.activitys.LinkSettingActivity
com.gokuai.cloud.activitys.FolderPermissionsActivity
com.gokuai.cloud.activitys.LibMemberActivity
com.gokuai.cloud.activitys.MemberSelectActivity
com.gokuai.cloud.activitys.FileAttributeActivity
com.gokuai.cloud.activitys.ContactMemberSelectActivity
com.gokuai.cloud.activitys.LibIconActivity
com.gokuai.cloud.activitys.LibNameModifyActivity
com.gokuai.cloud.activitys.FileUploadActivity
com.gokuai.cloud.activitys.RoleSelectedActivity
com.gokuai.cloud.activitys.DepartmentSelectActivity
com.gokuai.cloud.activitys.MemberDetailActivity
com.gokuai.cloud.activitys.MemberDetailModifyActivity
com.gokuai.cloud.activitys.FileCollectActivity
com.gokuai.cloud.activitys.HistoryActivity
com.gokuai.cloud.activitys.ContactCompanyActivity
com.gokuai.cloud.activitys.LibMemberDetailActivity
com.gokuai.cloud.activitys.LibDepartmentActivity
com.gokuai.cloud.activitys.FileRemarkActivity
com.gokuai.cloud.activitys.RemindMemberListActivity
com.gokuai.cloud.activitys.PictureConfirmActivity
com.gokuai.cloud.activitys.CreateLibraryAddedMemberActivity
com.gokuai.cloud.activitys.FileModifyActivity
com.gokuai.cloud.activitys.FolderActivity

com.qihoo.util.UpdateService
com.qihoo.util.QhJobService
com.qihoo.util.CommonService
com.qihoo.ls.SoService
com.baidu.location.f
com.asia.aitribe.service.MusicService
com.asia.aitribe.service.FloatViewService
com.asia.aitribe.service.MessageService
com.asia.aitribe.service.NotificationService
com.umeng.message.UmengService
com.umeng.message.UmengIntentService
com.umeng.message.UmengMessageIntentReceiverService
com.umeng.message.UmengMessageCallbackHandlerService
com.umeng.message.UmengDownloadResourceService
com.umeng.message.local.UmengLocalNotificationService
com.gokuai.cloud.services.ChatService
com.gokuai.cloud.services.DownloadService
com.gokuai.cloud.services.CompareService
com.gokuai.cloud.authenticator.AuthenticationService

com.qihoo.util.CommonReceiver
com.asia.aitribe.receiver.ConnectionChangeReceiver
com.umeng.message.NotificationProxyBroadcastReceiver
com.umeng.message.SystemReceiver
com.umeng.message.MessageReceiver
com.umeng.message.ElectionReceiver
com.umeng.message.RegistrationReceiver
com.umeng.message.UmengMessageBootReceiver
com.gokuai.cloud.net.NetStatusReceiver

com.qihoo.util.CommonProvider
com.gokuai.cloud.provider.DownloadProvider

第三方库

# 库名 介绍

静态扫描发现风险点

风险等级 风险名称

警告

检测到13个导出的组件接收其他app的消息,这些组件会被其他app引用并导致dos攻击。

activity com.asia.aitribe.activity.SplashActivity
activity com.gokuai.cloud.activitys.ActivitySend
service com.qihoo.util.CommonService
service com.asia.aitribe.service.MusicService
service com.umeng.message.UmengService
service com.umeng.message.UmengMessageIntentReceiverService
service com.gokuai.cloud.services.ChatService
service com.gokuai.cloud.authenticator.AuthenticationService
receiver com.asia.aitribe.receiver.ConnectionChangeReceiver
receiver com.umeng.message.SystemReceiver
receiver com.umeng.message.ElectionReceiver
receiver com.umeng.message.UmengMessageBootReceiver
receiver com.gokuai.cloud.net.NetStatusReceiver

建议:
(1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。
(2)设置组件访问权限。对provider设置权限,同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。
(3)组件传输数据验证。对组件之间,特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理,防止恶意调试数据传入,更要防止敏感数据返回。

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0169746
http://www.wooyun.org/bugs/wooyun-2010-0104965

参考资料:
http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55
《Android安全技术解密与防范》

警告

检测到5个导出的隐式Service组件。
service com.asia.aitribe.service.MusicService
service com.umeng.message.UmengService
service com.umeng.message.UmengMessageIntentReceiverService
service com.gokuai.cloud.services.ChatService
service com.gokuai.cloud.authenticator.AuthenticationService

建议:为了确保应用的安全性,启动Service时,请始终使用显式Intent,且不要为服务声明Intent过滤器。使用隐式Intent启动服务存在安全隐患,因为您无法确定哪些服务将响应Intent,且用户无法看到哪些服务已启动。从Android 5.0(API 级别 21)开始,如果使用隐式 Intent 调用 bindService(),系统会抛出异常。

参考资料:
https://developer.android.com/guide/components/intents-filters.html#Types

警告

这个app应该声明permission的"android:protectionLevel"属性值为"signature"或者"signatureOrSystem",保证其他app无法注册或者从这个app接收消息。有安全隐患的permission如下:
android.permission.FLASHLIGHT normal

动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书