漏洞分析

0

高危漏洞

0

中危漏洞

0

低危漏洞

3

警告

文件名 inCall_1.3.6.apk
上传者 qiao
文件大小 51.486618995667MB
MD5 3aaa1b2a293b7cb321f06cef119e6cfa
包名 cn.com.changan.cvim
Main Activity cn.com.changan.cvim.StartMainActivity
Min SDK 16
Target SDK 22

权限列表

# 名称 说明 提示
0 android.permission.PROCESS_OUTGOING_CALLS 允许应用程序处理外拨电话或更改要拨打的号码。恶意应用程序可能会借此监视、另行转接甚至阻止外拨电话。 警告
1 android.permission.ACCESS_COARSE_LOCATION 访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。 注意
2 android.permission.ACCESS_FINE_LOCATION 访问精准的位置源,例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置,并可能消耗额外的电池电量。 注意
3 android.permission.ACCESS_LOCATION_EXTRA_COMMANDS 访问额外的位置信息提供程序命令。恶意应用程序可借此干扰GPS或其他位置源的正常工作。 注意
4 android.permission.BLUETOOTH 允许应用程序查看本地蓝牙手机的配置,以及建立或接受与配对设备的连接。 注意
5 android.permission.BROADCAST_STICKY 允许应用程序发送顽固广播,这些广播在结束后仍会保留。恶意应用程序可能会借此使手机耗用太多内存,从而降低其速度或稳定性。 注意
6 android.permission.GET_TASKS 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 注意
7 android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 注意
8 android.permission.RECEIVE_BOOT_COMPLETED 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 注意
9 android.permission.RECORD_AUDIO 允许应用程序访问录音路径。 注意
10 android.permission.SYSTEM_ALERT_WINDOW 允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。 注意
11 android.permission.WRITE_SETTINGS 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 注意
12 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
13 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
14 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
15 android.permission.CHANGE_NETWORK_STATE 允许应用程序更改网络连接的状态。 提示
16 android.permission.CHANGE_WIFI_STATE 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 提示
17 android.permission.FLASHLIGHT 允许应用程序控制闪光灯。 提示
18 android.permission.GET_ACCOUNTS 允许应用程序获取手机已知的帐户列表。 提示
19 android.permission.INTERNET 允许程序访问网络. 提示
20 android.permission.KILL_BACKGROUND_PROCESSES 无论内存资源是否紧张,都允许应用程序结束其他应用程序的后台进程。 提示
21 android.permission.MODIFY_AUDIO_SETTINGS 允许应用程序修改整个系统的音频设置,如音量和路由。 提示
22 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许应用程序装载和卸载可移动存储器的文件系统。 提示
23 android.permission.READ_LOGS 允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况,但这些信息不应包含任何个人信息或保密信息。 提示
24 android.permission.RESTART_PACKAGES 允许程序自己重启或重启其他程序 提示
25 android.permission.VIBRATE 允许应用程序控制振动器。 提示
26 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
27 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

cn.com.changan.cvim.StartMainActivity
cn.com.changan.cvim.activity.AutoNaviRouteActivity
cn.com.changan.changancv.CarLocationNavi
cn.com.changan.changancv.FoundCarActivity
cn.com.changan.changancv.SurServiceActivity
cn.com.changan.changancv.DrivingTrajectory
cn.com.changan.changancv.ElectronicFence
cn.com.changan.cvim.activity.customTimeDialog
cn.com.changan.changancv.BNavigatorActivity
cn.com.changan.motorcade.EditTribeInfoActivity
cn.com.changan.motorcade.MapChatActivity
cn.com.changan.motorcade.ShareActivity
cn.com.changan.motorcade.TribeActivity
cn.com.changan.motorcade.JoinTribeFragmentActivity
com.mob.tools.MobUIShell
cn.sharesdk.demo.wxapi.WXEntryActivity
cn.com.changan.motorcade.JoinTribeActivity
cn.com.changan.motorcade.ModifyTribeInfoActivity
cn.com.changan.motorcade.LoginTribeActivity
cn.com.changan.motorcade.DestinationActivity
cn.com.changan.cvim.activity.PDFBrowse
cn.com.changan.cvim.activity.CaptureActivity
cn.com.changan.cvim.MainActivity
cn.jpush.android.ui.PopWinActivity
cn.jpush.android.ui.PushActivity
cn.com.changan.cvim.activity.ElecFenceListActivity
cn.com.changan.motorcade.GPSNaviActivity
com.alibaba.sdk.android.webview.BaseWebViewActivity
com.alibaba.sdk.android.webview.feedback.FeedbackActivity
com.alibaba.sdk.android.webview.feedback.SendFeedbackActivity
com.alibaba.mobileim.ui.WxChattingActvity
com.alibaba.mobileim.ui.WxConversationActivity
com.alibaba.mobileim.ui.chat.MultiImageActivity
com.alibaba.mobileim.kit.imageviewer.ShowImageActivity
com.alibaba.mobileim.ui.multi.lightservice.MultiPickGalleryActivity
com.alibaba.mobileim.ui.FeedbackActvity
com.alibaba.mobileim.kit.CloudPwdSettingHintActivity
com.alibaba.mobileim.login.WaitProgresssActivity
com.alibaba.mobileim.ui.atmessage.AtMsgListActivity
com.alibaba.mobileim.ui.atmessage.SendAtMessageDetailActivity
com.alibaba.mobileim.kit.chat.SelectTribeMemberActivity
com.alibaba.mobileim.kit.chat.EnlargeChattingTextActivity
com.alibaba.tcms.service.MonitorActivity
com.alibaba.mobileim.kit.video.IMPlayVideoDetailActivity
com.alibaba.mobileim.appmonitor.floatview.FloatViewActivity

com.amap.api.location.APSService
cn.jpush.android.service.DownloadService
cn.jpush.android.service.PushService
com.alibaba.sdk.android.push.ChannelService
com.alibaba.sdk.android.push.MsgService
com.alibaba.mobileim.appmonitor.tiptool.TooltipService
com.alibaba.tcms.service.TCMSService
com.alibaba.tcms.service.WXKernalService
com.alibaba.tcms.service.ListenerService

cn.jpush.android.service.PushReceiver
cn.jpush.android.service.AlarmReceiver
cn.com.changan.Receiver.MyReceiver
anet.channel.heartbeat.HeartbeatManager$Receiver
com.alibaba.sdk.android.hotpatch.HotPatchBroadcastReceiver

第三方库

# 库名 介绍
0 com.loopj.android.http An Asynchronous HTTP Library for Android http://loopj.com/android-async-http/
1 com.amap.api 高德LBS开放平台将高德最专业的定位、地图、搜索、导航等能力,以API、SDK等形式向广大开发者免费开放
2 cn.jpush.android.api 极光推送,使得开发者可以即时地向其应用程序的用户推送通知或者消息,与用户保持互动,从而有效地提高留存率,提升用户体验。平台提供整合了Android推送、iOS推送的统一推送服务。
3 android.support.multidex DEPRECATED
4 org.xutils xUtils 包含了很多实用的android工具.\nxUtils 支持超大文件(超过2G)上传,更全面的http请求协议支持(11种谓词),拥有更加灵活的ORM,更多的事件注解支持且不受混淆影响...\n xUtils 最低兼容Android 4.0 (api level 14). (Android 2.3?)
5 cn.sharesdk ShareSDK是中国最大的APP内分享服务提供商,ShareSDK社会化分享全面支持微信,微博,QQ空间,来往,易信,Facebook等国内外40个平台,帮助开发者轻松实现社会化分享、第三方登录、好友关系运用、一键分享、短链转换、评论和赞功能,还有强大的社会化统计分析管理后台,可以实时了解用户、信息流、回流率、传播效率等数据,有效地指导移动APP的日常运营与推广,同时为APP引入更多的社会化流量。
6 com.nostra13.universalimageloader Powerful and flexible library for loading, caching and displaying images on Android.
7 org.chromium.base Android WebView implementation that uses the latest Chromium code
8 com.google.gson A Java serialization library that can convert Java Objects into JSON and back.
9 org.apache.http The Apache HttpComponents™ project is responsible for creating and maintaining a toolset of low level Java components focused on HTTP and associated protocols.
10 org.apache.cordova Mobile apps with HTML, CSS & JSTarget multiple platforms with one code base
11 com.iflytek 讯飞开放平台作为全球首个开放的智能交互技术服务平台,致力于为开发者打造一站式智能人机交互解决方案。用户可通过互联网、移动互联网,使用任何设备、在任何时间、任何地点,随时随地享受讯飞开放平台提供的“听、说、读、写……”等全方位的人工智能服务。目前,开放平台以“云+端”的形式向开发者提供语音合成、语音识别、语音唤醒、语义理解、人脸识别、个性化彩铃、移动应用分析等多项服务。
12 org.apache.cordova Mobile apps with HTML, CSS & JSTarget multiple platforms with one code base
13 com.google.gson A Java serialization library that can convert Java Objects into JSON and back.
14 com.nostra13.universalimageloader Powerful and flexible library for loading, caching and displaying images on Android.
15 com.google.zxing Official ZXing ("Zebra Crossing") project home
16 org.chromium.base Android WebView implementation that uses the latest Chromium code
17 com.loopj.android.http An Asynchronous HTTP Library for Android http://loopj.com/android-async-http/
18 org.apache.http The Apache HttpComponents™ project is responsible for creating and maintaining a toolset of low level Java components focused on HTTP and associated protocols.
19 org.xutils xUtils 包含了很多实用的android工具.\nxUtils 支持超大文件(超过2G)上传,更全面的http请求协议支持(11种谓词),拥有更加灵活的ORM,更多的事件注解支持且不受混淆影响...\n xUtils 最低兼容Android 4.0 (api level 14). (Android 2.3?)

静态扫描发现风险点

风险等级 风险名称

警告

检测到10个导出的组件接收其他app的消息,这些组件会被其他app引用并导致dos攻击。

activity com.mob.tools.MobUIShell
activity cn.sharesdk.demo.wxapi.WXEntryActivity
activity com.alibaba.tcms.service.MonitorActivity
activity com.alibaba.mobileim.kit.video.IMPlayVideoDetailActivity
service cn.jpush.android.service.PushService
service com.alibaba.sdk.android.push.ChannelService
service com.alibaba.tcms.service.TCMSService
service com.alibaba.tcms.service.ListenerService
receiver cn.jpush.android.service.PushReceiver
receiver anet.channel.heartbeat.HeartbeatManager$Receiver

建议:
(1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。
(2)设置组件访问权限。对provider设置权限,同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。
(3)组件传输数据验证。对组件之间,特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理,防止恶意调试数据传入,更要防止敏感数据返回。

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0169746
http://www.wooyun.org/bugs/wooyun-2010-0104965

参考资料:
http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55
《Android安全技术解密与防范》

警告

检测到2个导出的隐式Service组件。
service cn.jpush.android.service.PushService
service com.alibaba.sdk.android.push.ChannelService

建议:为了确保应用的安全性,启动Service时,请始终使用显式Intent,且不要为服务声明Intent过滤器。使用隐式Intent启动服务存在安全隐患,因为您无法确定哪些服务将响应Intent,且用户无法看到哪些服务已启动。从Android 5.0(API 级别 21)开始,如果使用隐式 Intent 调用 bindService(),系统会抛出异常。

参考资料:
https://developer.android.com/guide/components/intents-filters.html#Types

警告

检测3处組件設置了android.intent.category.BROWSABLE属性。
cn.com.changan.cvim.StartMainActivity
com.mob.tools.MobUIShell
com.alibaba.mobileim.kit.video.IMPlayVideoDetailActivity


在AndroidManifest文件中定义了android.intent.category.BROWSABLE属性的组件,可以通过浏览器唤起,这会导致远程命令执行漏洞攻击。建议:
(1)APP中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
(2)不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。

參考案例:
http://www.wooyun.org/bugs/wooyun-2014-073875
http://www.wooyun.org/bugs/wooyun-2014-067798

参考资料:
http://wolfeye.baidu.com/blog/intent-scheme-url/
http://www.jssec.org/dl/android_securecoding_en.pdf
http://drops.wooyun.org/mobile/15202
http://blog.csdn.net/l173864930/article/details/36951805
http://drops.wooyun.org/papers/2893


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书