0

高危漏洞

4

中危漏洞

3

低危漏洞

5

警告

文件名 app-release_legu_signed_zipalign.apk
上传者 水无月
文件大小 5.5632238388062MB
MD5 49f9ac54befc1b62ecb9cfe4062973a3
包名 com.xl.jdfsm
Main Activity com.xl.jdfsm.ui.AppStart
Min SDK 15
Target SDK 22

权限列表

# 名称 说明 提示
0 android.permission.CALL_PHONE 允许应用程序在您不介入的情况下拨打电话。恶意应用程序可借此在您的话费单上产生意外通话费。请注意,此权限不允许应用程序拨打紧急呼救电话。 警告
1 android.permission.ACCESS_COARSE_LOCATION 访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。 注意
2 android.permission.ACCESS_FINE_LOCATION 访问精准的位置源,例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置,并可能消耗额外的电池电量。 注意
3 android.permission.ACCESS_LOCATION_EXTRA_COMMANDS 访问额外的位置信息提供程序命令。恶意应用程序可借此干扰GPS或其他位置源的正常工作。 注意
4 android.permission.GET_TASKS 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 注意
5 android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 注意
6 android.permission.RECEIVE_BOOT_COMPLETED 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 注意
7 android.permission.REORDER_TASKS 允许应用程序将任务移至前端和后台。恶意应用程序可借此强行进入前端,而不受您的控制。 注意
8 android.permission.SYSTEM_ALERT_WINDOW 允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。 注意
9 android.permission.WRITE_SETTINGS 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 注意
10 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
11 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
12 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
13 android.permission.CHANGE_CONFIGURATION 允许应用程序更改当前配置,例如语言设置或整体的字体大小。 提示
14 android.permission.CHANGE_NETWORK_STATE 允许应用程序更改网络连接的状态。 提示
15 android.permission.CHANGE_WIFI_STATE 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 提示
16 android.permission.GET_ACCOUNTS 允许应用程序获取手机已知的帐户列表。 提示
17 android.permission.INTERNET 允许程序访问网络. 提示
18 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许应用程序装载和卸载可移动存储器的文件系统。 提示
19 android.permission.READ_LOGS 允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况,但这些信息不应包含任何个人信息或保密信息。 提示
20 android.permission.RESTART_PACKAGES 允许程序自己重启或重启其他程序 提示
21 android.permission.VIBRATE 允许应用程序控制振动器。 提示
22 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
23 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

com.xl.jdfsm.ui.AppStart
com.xl.jdfsm.ui.UserLoginActivity
com.xl.jdfsm.ui.UserFindPwdActivity
com.xl.jdfsm.ui.MainActivity
com.xl.jdfsm.ui.MainIndexActivity
com.xl.jdfsm.ui.MainFirmActivity
com.xl.jdfsm.ui.MainErrorActivity
com.xl.jdfsm.ui.MainMineActivity
com.xl.jdfsm.ui.MainCallActivity
com.xl.jdfsm.ui.ErrorListActivity
com.xl.jdfsm.ui.AttentionActivity
com.xl.jdfsm.ui.AboutActivity
com.xl.jdfsm.ui.ModifyPwdActivity
com.xl.jdfsm.ui.CameraActivity
com.xl.jdfsm.ui.BroadcastActivity
com.xl.jdfsm.ui.NewsActivity
com.xl.jdfsm.ui.NewsDetailActivity
com.xl.jdfsm.ui.JgqycxActivity
com.xl.jdfsm.ui.UnlockActivity
com.xl.jdfsm.ui.yhxg.AqyhActivity
com.xl.jdfsm.ui.yhxg.AqyhsbActivity
com.xl.jdfsm.ui.yhxg.AqyhDetailActivity
com.xl.jdfsm.ui.yhxg.YhclDetailActivity
com.xl.jdfsm.ui.yhxg.BmyhhzActivity
com.xl.jdfsm.ui.yhxg.BmyhActivity
com.xl.jdfsm.ui.yhxg.BmyhDetailActivity
com.xl.jdfsm.ui.yhxg.DslActivity
com.xl.jdfsm.ui.yhxg.DclActivity
com.xl.jdfsm.ui.yhxg.DqrActivity
com.xl.jdfsm.ui.yhxg.JaActivity
com.xl.jdfsm.ui.hljy.HljyActivity
com.xl.jdfsm.ui.hljy.WdJyActivity
com.xl.jdfsm.ui.hljy.TjjyActivity
com.xl.jdfsm.ui.hljy.JyDetailActivity
com.xl.jdfsm.ui.hljy.BmJyActivity
com.xl.jdfsm.ui.hljy.BmJyDetailActivity
com.xl.jdfsm.ui.hljy.GsYjQrActivity
com.xl.jdfsm.ui.hljy.XzJyActivity
com.xl.jdfsm.ui.hljy.PsJyActivity
com.xl.jdfsm.ui.hljy.EcPsjyActivity
com.xl.jdfsm.ui.ysaq.YsaqActivity
com.xl.jdfsm.ui.ysaq.WdtsActivity
com.xl.jdfsm.ui.ysaq.TsActivity
com.xl.jdfsm.ui.ysaq.TsstclActivity
com.xl.jdfsm.ui.ysaq.TsslActivity
com.xl.jdfsm.ui.ysaq.TsDetailActivity
com.xl.jdfsm.ui.ysaq.CktsActivity
com.xl.jdfsm.ui.ysaq.CltsActivity
com.xl.jdfsm.ui.ysaq.ClwtActivity
com.xl.jdfsm.ui.ysaq.QyActivity
com.xl.jdfsm.ui.ysaq.StActivity
com.xl.jdfsm.lookimg.ImagePreviewActivity
com.xl.jdfsm.ui.TypeActivity
com.xl.jdfsm.ui.UnitActivity
com.xl.jdfsm.ui.hljy.EcshryActivity
com.xl.jdfsm.ui.OrganActivity
com.xl.jdfsm.ui.KqInfoActivity
com.xl.jdfsm.ui.VenueListActivity
com.xl.jdfsm.ui.SharedBookstoreActivity
com.xl.jdfsm.ui.BorrowBookActivity
com.xl.jdfsm.ui.TabLayoutActivity
com.xl.jdfsm.ui.JjfwActivity
com.xl.photopicker.PickPhotoActivity
com.xl.zxing.activity.CaptureActivity
com.xl.jdfsm.photoview.PhotoActivity
com.xl.jdfsm.ui.gszdy.WdgsActivity
com.xl.jdfsm.ui.gszdy.GszdyActivity
com.xl.jdfsm.ui.gszdy.TjBldActivity
com.xl.jdfsm.ui.gszdy.TjBldgsActivity
com.xl.jdfsm.ui.gszdy.BmgsActivity
com.xl.jdfsm.ui.gszdy.BmgsDetailActivity
com.xl.jdfsm.ui.gszdy.EcPsgsActivity
com.xl.jdfsm.ui.gszdy.GsDetailActivity
com.xl.jdfsm.ui.gszdy.PsgsActivity
com.xl.jdfsm.ui.gszdy.GsEcshryActivity
com.xl.jdfsm.ui.AuditListActivity
com.xl.jdfsm.ui.AuditActivity
com.xl.jdfsm.ui.ApplyActivity
com.alibaba.sdk.android.push.keeplive.PushExtActivity
com.xl.jdfsm.ui.yhxg.YhxgActivity
com.xl.jdfsm.ui.znxc.ZnxcActivity
com.xl.jdfsm.ui.znxc.RwxdActivity
com.xl.jdfsm.ui.znxc.RwAddActivity
com.xl.jdfsm.ui.znxc.RwDetailActivity
com.xl.jdfsm.ui.znxc.SelectExecutorActivity
com.xl.jdfsm.ui.znxc.SelectPatrolPathActivity
com.xl.jdfsm.ui.znxc.XlglActivity
com.xl.jdfsm.ui.znxc.XlModifyActivity
com.xl.jdfsm.ui.znxc.XlDetailActivity
com.xl.jdfsm.ui.znxc.SelectPatrolpointActivity
com.xl.jdfsm.ui.znxc.XcrwActivity
com.xl.jdfsm.ui.znxc.XcjlActivity
com.xl.jdfsm.ui.znxc.XclbActivity
com.xl.jdfsm.ui.znxc.XcdsbActivity
com.xl.jdfsm.ui.znxc.XcjlListActivity
com.xl.jdfsm.ui.znxc.InputMsgActivity
com.xl.jdfsm.ui.znxc.XcjlDetailActivity

com.amap.api.location.APSService
com.xl.jdfsm.service.GrayService
com.xl.jdfsm.service.GrayService$GrayInnerService
com.xl.jdfsm.service.UploadPicService
com.xl.jdfsm.service.WakeReceiver$WakeNotifyService
com.xl.jdfsm.service.WakeReceiver$WakeGrayInnerService
com.xl.jdfsm.service.WhiteService
com.alibaba.sdk.android.push.MsgService
com.alibaba.sdk.android.push.channel.CheckService
com.taobao.accs.ChannelService
com.taobao.accs.ChannelService$KernelService
com.taobao.accs.data.MsgDistributeService
org.android.agoo.accs.AgooService
com.alibaba.sdk.android.push.AliyunPushIntentService
com.alibaba.sdk.android.push.channel.TaobaoRecvService
com.taobao.accs.internal.AccsJobService
com.alibaba.sdk.android.push.channel.KeepChannelService
com.xiaomi.mipush.sdk.PushMessageHandler
com.xiaomi.mipush.sdk.MessageHandleService

com.xl.jdfsm.receiver.CameraReceiver
com.xl.jdfsm.receiver.DeviceManageBC
com.xl.jdfsm.receiver.NetWorkReceiver
com.xl.jdfsm.service.WakeReceiver
com.taobao.accs.EventReceiver
com.taobao.accs.ServiceReceiver
com.taobao.agoo.AgooCommondReceiver
com.alibaba.sdk.android.push.SystemEventReceiver
com.xl.jdfsm.receiver.AliPushReceiver
com.alibaba.sdk.android.push.MiPushBroadcastReceiver
com.xiaomi.push.service.receivers.NetworkStatusReceiver
com.alibaba.sdk.android.push.HuaWeiReceiver

android.support.v4.content.FileProvider

第三方库

# 库名 介绍
0 com.tencent.bugly 腾讯Bugly,面向移动开发者提供最专业的Crash监控、崩溃分析等质量跟踪服务,为您修复用户的每一次Crash!

静态扫描发现风险点

风险等级 风险名称

中危

该app需要移除大部分日志打印代码。
经扫描该包仍存在大量打日志代码,共发现71处打日志代码.(此处扫描的日志打印代码,是指调用android.util.Log.* 打印的.)
详情如下:

位置: classes.dex
com.tencent.bugly.legu.crashreport.CrashReport;->putUserData(Landroid/content/Context; Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testNativeCrash()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserData(Landroid/content/Context; Ljava/lang/String;)Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserSceneTagId(Landroid/content/Context;)I==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setJavascriptMonitor(Landroid/webkit/WebView; Z Z)Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setIsAppForeground(Landroid/content/Context; Z)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.BuglyLog;->w(Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testANRCrash()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.StubShell.TxAppEntry;->getPackageName()Ljava/lang/String;==>android.util.Log;->d(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppVer()Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.v;->c(Ljava/lang/Runnable;)Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->postCatchedException(Ljava/lang/Throwable; Z)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.v;->a(Ljava/lang/Runnable;)Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.BuglyLog;->v(Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->v(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->postCatchedException(Ljava/lang/Throwable; Z)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.BuglyLog;->i(Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->i(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->isLastSessionCrash()Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->closeNativeReport()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setSessionIntervalMills(J)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.b;->a(Landroid/content/Context; Lcom/tencent/bugly/legu/BuglyStrategy;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.b;->a(Landroid/content/Context; Ljava/lang/String; Z Lcom/tencent/bugly/legu/BuglyStrategy;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAllUserDataKeys(Landroid/content/Context;)Ljava/util/Set;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->removeUserData(Landroid/content/Context; Ljava/lang/String;)Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testANRCrash()V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserId(Landroid/content/Context; Ljava/lang/String;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->closeNativeReport()V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testJavaCrash()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.b;->a(Landroid/content/Context; Ljava/lang/String; Z Lcom/tencent/bugly/legu/BuglyStrategy;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAllUserDataKeys(Landroid/content/Context;)Ljava/util/Set;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.a;->a(Landroid/content/Context;)Ljava/lang/String;==>android.util.Log;->i(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.a;->c(Landroid/content/Context;)Ljava/lang/String;==>android.util.Log;->i(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->isLastSessionCrash()Z==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setIsDevelopmentDevice(Landroid/content/Context; Z)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppChannel()Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.b;->a(Landroid/content/Context; Lcom/tencent/bugly/legu/BuglyStrategy;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.x;->b(Ljava/lang/String; Ljava/lang/String; Ljava/lang/String;)Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.BuglyLog;->d(Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->d(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppID()Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->putSdkData(Landroid/content/Context; Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.a;->b(Landroid/content/Context;)Ljava/lang/String;==>android.util.Log;->i(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserSceneTag(Landroid/content/Context; I)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppVer()Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.w;->a(I Ljava/lang/String; [Ljava/lang/Object;)Z==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserId(Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->closeBugly()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getSdkExtraData()Ljava/util/Map;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserSceneTagId(Landroid/content/Context;)I==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserDatasSize(Landroid/content/Context;)I==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.StubShell.SystemClassLoaderInjector;->fixAndroid(Landroid/content/Context; Landroid/app/Application;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.BuglyLog;->e(Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.w;->a(I Ljava/lang/String; [Ljava/lang/Object;)Z==>android.util.Log;->d(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserId(Landroid/content/Context; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->removeUserData(Landroid/content/Context; Ljava/lang/String;)Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppID()Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserId()Ljava/lang/String;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->closeCrashReport()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserSceneTag(Landroid/content/Context; I)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.Bugly;->init(Landroid/content/Context; Ljava/lang/String; Z Lcom/tencent/bugly/legu/BuglyStrategy;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testNativeCrash()V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->startCrashReport()V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.StubShell.a;->a(Ljava/lang/Object; Ljava/lang/ClassLoader; Z)Ljava/lang/Object;==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setAppVersion(Landroid/content/Context; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setSdkExtraData(Landroid/content/Context; Ljava/lang/String; Ljava/lang/String;)V==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserId()Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.w;->a(I Ljava/lang/String; [Ljava/lang/Object;)Z==>android.util.Log;->i(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserDatasSize(Landroid/content/Context;)I==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->testJavaCrash()V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getUserData(Landroid/content/Context; Ljava/lang/String;)Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->getAppChannel()Ljava/lang/String;==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.proguard.w;->a(I Ljava/lang/String; [Ljava/lang/Object;)Z==>android.util.Log;->w(Ljava/lang/String; Ljava/lang/String;)I
com.tencent.bugly.legu.crashreport.CrashReport;->setUserId(Ljava/lang/String;)V==>android.util.Log;->e(Ljava/lang/String; Ljava/lang/String;)I

中危

检测到1个WebView远程执行漏洞。

位置: classes.dex
com.tencent.bugly.legu.crashreport.CrashReport;->setJavascriptMonitor(Landroid.webkit.WebView; Z Z)Z

Android API < 17之前版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用addJavaScriptInterface方法,攻击者可以通过Java反射利用该漏洞执行任意Java对象的方法,导致远程代码执行安全漏洞。
(1)API等于高于17的Android系统。出于安全考虑,为了防止Java层的函数被随意调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解。
(2)API等于高于17的Android系统。建议不要使用addJavascriptInterface接口,以免带来不必要的安全隐患,如果一定要使用该接口,建议使用证书校验。
(3)使用removeJavascriptInterface移除Android系统内部的默认内置接口:searchBoxJavaBridge_、accessibility、accessibilityTraversal。

参考案例:
www.wooyun.org/bugs/wooyun-2015-0140708
www.wooyun.org/bugs/wooyun-2016-0188252
http://drops.wooyun.org/papers/548

参考资料:
http://jaq.alibaba.com/blog.htm?id=48
http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis
https://developer.android.com/reference/android/webkit/WebView.html

中危

检测到2条敏感明文信息,建议移除。

位置: classes.dex
'http://android.bugly.qq.com/rqd/async' used in: Lcom/tencent/bugly/legu/crashreport/common/strategy/StrategyBean;->()V
'http://rqd.uu.qq.com/rqd/sync' used in: Lcom/tencent/bugly/legu/crashreport/common/strategy/StrategyBean;->()V

中危

检测到1处setSavePassword密码明文存储漏洞。

位置: classes.dex
com.tencent.bugly.legu.crashreport.CrashReport;

webview的保存密码功能默认设置为true。Webview会明文保存网站上的密码到本地私有文件”databases/webview.db”中。对于可以被root的系统环境或者配合其他漏洞(如webview的同源绕过漏洞),攻击者可以获取到用户密码。
建议:显示设置webView.getSetting().setSavePassword(false)。

参考案例:
www.wooyun.org/bugs/wooyun-2010-021420
www.wooyun.org/bugs/wooyun-2013-020246

参考资料:
http://wolfeye.baidu.com/blog/
www.claudxiao.net/2013/03/android-webview-cache/

低危

检测到1个WebView系统隐藏接口未移除。

位置: classes.dex
com.tencent.bugly.legu.crashreport.CrashReport;->setJavascriptMonitor(Landroid.webkit.WebView; Z Z)Z

android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_,accessibilityTraversal以及accessibility,恶意程序可以利用它们实现远程代码执行。
如果使用了WebView,那么使用WebView.removeJavascriptInterface(String name) API,显示的移除searchBoxJavaBridge_、accessibility、accessibilityTraversal这三个接口。

参考资料:
http://wolfeye.baidu.com/blog/android-webview/
http://blog.csdn.net/u013107656/article/details/51729398
http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/

低危

检测到1处使用了DES弱加密算法。

位置: classes.dex
'DES/CBC/PKCS5Padding' used in: Lcom/tencent/bugly/legu/proguard/af;->a([B)[B

使用弱加密算法会大大增加黑客攻击的概率,黑客可能会破解隐私数据、猜解密钥、中间人攻击等,造成隐私信息的泄漏,甚至造成财产损失。建议使用AES加密算法。

参考资料:
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html
http://wolfeye.baidu.com/blog/weak-encryption/
http://www.freebuf.com/articles/terminal/99868.html

低危

非debug包,需要通过打包平台proguard脚本,移除大部分系统输出代码。
经扫描该包仍存在大量系统输出代码,共发现1处系统输出代码.(此处扫描的系统输出代码,是指调用System.out.print*输出的,本应在打包平台移除的系统输出代码.)
各个bundle系统输出代码详情如下:

位置: classes.dex
com.tencent.bugly.legu.proguard.f;

警告

检测到14个导出的组件接收其他app的消息,这些组件会被其他app引用并导致dos攻击。

service com.alibaba.sdk.android.push.channel.CheckService
service com.taobao.accs.ChannelService
service com.taobao.accs.data.MsgDistributeService
service org.android.agoo.accs.AgooService
service com.alibaba.sdk.android.push.AliyunPushIntentService
service com.alibaba.sdk.android.push.channel.TaobaoRecvService
service com.xiaomi.mipush.sdk.PushMessageHandler
receiver com.taobao.accs.EventReceiver
receiver com.taobao.accs.ServiceReceiver
receiver com.taobao.agoo.AgooCommondReceiver
receiver com.alibaba.sdk.android.push.SystemEventReceiver
receiver com.alibaba.sdk.android.push.MiPushBroadcastReceiver
receiver com.xiaomi.push.service.receivers.NetworkStatusReceiver
receiver com.alibaba.sdk.android.push.HuaWeiReceiver

建议:
(1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。
(2)设置组件访问权限。对provider设置权限,同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。
(3)组件传输数据验证。对组件之间,特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理,防止恶意调试数据传入,更要防止敏感数据返回。

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0169746
http://www.wooyun.org/bugs/wooyun-2010-0104965

参考资料:
http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55
《Android安全技术解密与防范》

警告

检测到6个导出的隐式Service组件。
service com.alibaba.sdk.android.push.channel.CheckService
service com.taobao.accs.ChannelService
service com.taobao.accs.data.MsgDistributeService
service org.android.agoo.accs.AgooService
service com.alibaba.sdk.android.push.AliyunPushIntentService
service com.alibaba.sdk.android.push.channel.TaobaoRecvService

建议:为了确保应用的安全性,启动Service时,请始终使用显式Intent,且不要为服务声明Intent过滤器。使用隐式Intent启动服务存在安全隐患,因为您无法确定哪些服务将响应Intent,且用户无法看到哪些服务已启动。从Android 5.0(API 级别 21)开始,如果使用隐式 Intent 调用 bindService(),系统会抛出异常。

参考资料:
https://developer.android.com/guide/components/intents-filters.html#Types

警告

检测到3处IvParameterSpec的使用。

位置: classes.dex
com.tencent.bugly.legu.proguard.a;->a(I [B [B)[B
com.tencent.bugly.legu.proguard.ae;->a([B)[B
com.tencent.bugly.legu.proguard.af;->a([B)[B

使用IVParameterSpec函数,如果使用了固定的初始化向量,那么密码文本可预测性高得多,容易受到字典攻击等。建议禁止使用常量初始化矢量构造IVParameterSpec,使用聚安全提供的安全组件。

参考资料:
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html
http://wolfeye.baidu.com/blog/weak-encryption/
http://www.freebuf.com/articles/terminal/99868.html

警告

检测到1处provider的grantUriPermissions设置为true。
android.support.v4.content.FileProvider


grant-uri-permission若设置为true,可被其它程序员通过uri访问到content provider的内容,容易造成信息泄露。

参考资料:
https://security.tencent.com/index.php/blog/msg/6

警告

检测到2处使用了加解密算法。密钥处理不当可能会导致信息泄露。

位置: classes.dex
com.tencent.bugly.legu.proguard.a;->a(I [B [B)[B
com.tencent.bugly.legu.proguard.ae;->a([B)[B

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0105766
http://www.wooyun.org/bugs/wooyun-2015-0162907
http://www.wooyun.org/bugs/wooyun-2010-0187287

参考资料:
http://drops.wooyun.org/tips/15870
https://developer.android.com/training/articles/keystore.html


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书