0

高危漏洞

3

中危漏洞

1

低危漏洞

2

警告

文件名 224b00e2b992d6929434d3c28214c204.apk
上传者 boyhack
文件大小 22.603747367859MB
MD5 278e5fd46011ed154d54df0663e03e56
包名 com.example.flutter_video_player
Main Activity com.example.flutter_video_player.MainActivity
Min SDK 16
Target SDK 28

权限列表

# 名称 说明 提示
0 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
1 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
2 android.permission.INTERNET 允许程序访问网络. 提示
3 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
4 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

com.example.flutter_video_player.MainActivity
io.flutter.plugins.urllauncher.UrlLauncherPlugin$WebViewActivity

第三方库

# 库名 介绍

静态扫描发现风险点

风险等级 风险名称

中危

检测到当前标志被设置成true或没设置,这会导致adb调试备份允许恶意攻击者复制应用程序数据,造成数据泄露。

中危

检测到3条敏感明文信息,建议移除。

位置: classes.dex
'http://schemas.microsoft.com/DRM/2007/03/protocols/AcquireLicense' used in: Lcom/google/android/exoplayer2/drm/HttpMediaDrmCallback;->executeKeyRequest(Ljava/util/UUID; Lcom/google/android/exoplayer2/drm/ExoMediaDrm$KeyRequest;)[B
'http://www.w3.org/ns/ttml#parameter' used in: Lcom/google/android/exoplayer2/text/ttml/TtmlDecoder;->parseFrameAndTickRates(Lorg/xmlpull/v1/XmlPullParser;)Lcom/google/android/exoplayer2/text/ttml/TtmlDecoder$FrameAndTickRate;
'http://www.w3.org/ns/ttml#parameter' used in: Lcom/google/android/exoplayer2/text/ttml/TtmlDecoder;->parseCellResolution(Lorg/xmlpull/v1/XmlPullParser; Lcom/google/android/exoplayer2/text/ttml/TtmlDecoder$CellResolution;)Lcom/google/android/exoplayer2/text/ttml/TtmlDecoder$CellResolution;

中危

检测到2处setSavePassword密码明文存储漏洞。

位置: classes.dex
io.flutter.plugins.webviewflutter.FlutterWebView;
io.flutter.plugins.urllauncher.UrlLauncherPlugin$WebViewActivity;

webview的保存密码功能默认设置为true。Webview会明文保存网站上的密码到本地私有文件”databases/webview.db”中。对于可以被root的系统环境或者配合其他漏洞(如webview的同源绕过漏洞),攻击者可以获取到用户密码。
建议:显示设置webView.getSetting().setSavePassword(false)。

参考案例:
www.wooyun.org/bugs/wooyun-2010-021420
www.wooyun.org/bugs/wooyun-2013-020246

参考资料:
http://wolfeye.baidu.com/blog/
www.claudxiao.net/2013/03/android-webview-cache/

低危

检测到2个WebView系统隐藏接口未移除。

位置: classes.dex
io.flutter.plugins.urllauncher.UrlLauncherPlugin$WebViewActivity;->onCreate(Landroid.os.Bundle;)V
io.flutter.plugins.webviewflutter.FlutterWebView;->updateJsMode(I)V

android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_,accessibilityTraversal以及accessibility,恶意程序可以利用它们实现远程代码执行。
如果使用了WebView,那么使用WebView.removeJavascriptInterface(String name) API,显示的移除searchBoxJavaBridge_、accessibility、accessibilityTraversal这三个接口。

参考资料:
http://wolfeye.baidu.com/blog/android-webview/
http://blog.csdn.net/u013107656/article/details/51729398
http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/

警告

检测到4处IvParameterSpec的使用。

位置: classes.dex
com.google.android.exoplayer2.upstream.cache.CachedContentIndex;->readFile()Z
com.google.android.exoplayer2.upstream.cache.CachedContentIndex;->writeFile()V
com.google.android.exoplayer2.upstream.crypto.AesFlushingCipher;->(I [B J J)V
com.google.android.exoplayer2.source.hls.Aes128DataSource;->open(Lcom.google.android.exoplayer2.upstream.DataSpec;)J

使用IVParameterSpec函数,如果使用了固定的初始化向量,那么密码文本可预测性高得多,容易受到字典攻击等。建议禁止使用常量初始化矢量构造IVParameterSpec,使用聚安全提供的安全组件。

参考资料:
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html
http://wolfeye.baidu.com/blog/weak-encryption/
http://www.freebuf.com/articles/terminal/99868.html

警告

检测到1处socket通信。

位置: classes.dex
Lcom.google.android.exoplayer2.upstream.UdpDataSource;->read

Android应用通常使用PF_UNIX、PF_INET、PF_NETLINK等不同domain的socket来进行本地IPC或者远程网络通信,这些暴露的socket代表了潜在的本地或远程攻击面,历史上也出现过不少利用socket进行拒绝服务、root提权或者远程命令执行的案例特别是PF_INET类型的网络socket,可以通过网络与Android应用通信,其原本用于linux环境下开放网络服务,由于缺乏对网络调用者身份或者本地调用者id、permission等细粒度的安全检查机制,在实现不当的情况下,可以突破Android的沙箱限制,以被攻击应用的权限执行命令,通常出现比较严重的漏洞

参考案例:
http://www.wooyun.org/bugs/wooyun-2015-0148406
http://www.wooyun.org/bugs/wooyun-2015-0145365

参考资料:
http://wolfeye.baidu.com/blog/open-listen-port
http://blog.csdn.net/jltxgcy/article/details/50686858
https://www.bigniu.com/article/view/10
http://drops.wooyun.org/mobile/6973


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书