0

高危漏洞

3

中危漏洞

1

低危漏洞

2

警告

文件名 LittleBee-latest.apk
上传者 wanwangpay
文件大小 11.305871963501MB
MD5 7fe6ff80b6fc9bdf1f24ad79091096c1
包名 com.example.gongshidaima
Main Activity com.example.startmodule.activity.SplashActivity
Min SDK 15
Target SDK 28

权限列表

# 名称 说明 提示
0 android.permission.ACCESS_COARSE_LOCATION 访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。 注意
1 android.permission.ACCESS_FINE_LOCATION 访问精准的位置源,例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置,并可能消耗额外的电池电量。 注意
2 android.permission.BLUETOOTH 允许应用程序查看本地蓝牙手机的配置,以及建立或接受与配对设备的连接。 注意
3 android.permission.GET_TASKS 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 注意
4 android.permission.INSTALL_PACKAGES 允许应用程序安装全新的或更新的Android包。恶意应用程序可能会借此添加其具有任意权限的新应用程序。 注意
5 android.permission.MODIFY_PHONE_STATE 允许应用程序控制设备的电话功能。拥有此权限的应用程序可自行切换网络、打开和关闭无线通信等,而不会通知您。 注意
6 android.permission.READ_CALENDAR 允许应用程序读取您手机上存储的所有日历活动。恶意应用程序可借此将您的日历活动发送给其他人。 注意
7 android.permission.READ_CONTACTS 允许应用程序读取您手机上存储的所有联系人(地址)数据。恶意应用程序可借此将您的数据发送给其他人。 注意
8 android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 注意
9 android.permission.RECEIVE_BOOT_COMPLETED 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 注意
10 android.permission.RECORD_AUDIO 允许应用程序访问录音路径。 注意
11 android.permission.WRITE_SETTINGS 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 注意
12 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
13 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
14 android.permission.BLUETOOTH_ADMIN 允许应用程序配置本地蓝牙手机,以及发现远程设备并与其配对。 提示
15 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
16 android.permission.CHANGE_NETWORK_STATE 允许应用程序更改网络连接的状态。 提示
17 android.permission.CHANGE_WIFI_STATE 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 提示
18 android.permission.EXPAND_STATUS_BAR 允许应用程序展开或收拢状态栏。 提示
19 android.permission.INTERNET 允许程序访问网络. 提示
20 android.permission.KILL_BACKGROUND_PROCESSES 无论内存资源是否紧张,都允许应用程序结束其他应用程序的后台进程。 提示
21 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许应用程序装载和卸载可移动存储器的文件系统。 提示
22 android.permission.RESTART_PACKAGES 允许程序自己重启或重启其他程序 提示
23 android.permission.VIBRATE 允许应用程序控制振动器。 提示
24 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
25 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

com.example.gongshidaima.MainActivity
com.example.startmodule.activity.SplashActivity
com.example.ordermodule.activity.WaitingForOrderActivity
com.example.ordermodule.activity.GrabTheOrderActivity
com.example.ordermodule.activity.GrabTheOrderFailureActivity
com.example.ordermodule.activity.OrderFormActtivity
com.example.ordermodule.activity.RebateVoucherActtivity
com.example.ordermodule.activity.PersonalOrderActivity
com.example.ordermodule.activity.AlipayActivity
com.example.ordermodule.activity.WechatQRCodeActivity
com.example.ordermodule.activity.WeChatQRCodeCategoryActvity
com.example.ordermodule.activity.TaobaoActivity
com.example.ordermodule.activity.TaobaoStallActvity
com.example.ordermodule.activity.TaobaoAddedActivity
com.example.demandmodule.activity.PendingPaymentActivity
com.example.demandmodule.activity.OrderStatusListActivity
com.example.accountmodule.activity.LoginActivity
com.example.accountmodule.activity.RegistrationActivity
com.example.accountmodule.activity.RegistrationWXActivity
com.example.accountmodule.activity.RegistrationIsCompleteActivity
com.example.accountmodule.activity.ForgetPasswordActivity
com.example.accountmodule.activity.LoginNewActivity
com.example.accountmodule.activity.VerificationCodeActivity
me.goldze.mvvmhabit.base.ContainerActivity
me.goldze.mvvmhabit.crash.DefaultErrorActivity
com.zhihu.matisse.ui.MatisseActivity
com.zhihu.matisse.internal.ui.AlbumPreviewActivity
com.zhihu.matisse.internal.ui.SelectedPreviewActivity
com.xuexiang.xutil.system.PermissionUtils$PermissionActivity

com.amap.api.location.APSService
com.xuexiang.xupdate.service.DownloadService

me.goldze.mvvmhabit.crash.CaocInitProvider
android.arch.lifecycle.ProcessLifecycleOwnerInitializer
com.xuexiang.xupdate.utils.UpdateFileProvider
android.support.v4.content.FileProvider4Utils

第三方库

# 库名 介绍
0 android.support.transition A backport of the new Transitions API for Android.
1 com.iflytek 讯飞开放平台作为全球首个开放的智能交互技术服务平台,致力于为开发者打造一站式智能人机交互解决方案。用户可通过互联网、移动互联网,使用任何设备、在任何时间、任何地点,随时随地享受讯飞开放平台提供的“听、说、读、写……”等全方位的人工智能服务。目前,开放平台以“云+端”的形式向开发者提供语音合成、语音识别、语音唤醒、语义理解、人脸识别、个性化彩铃、移动应用分析等多项服务。
2 com.amap.api 高德LBS开放平台将高德最专业的定位、地图、搜索、导航等能力,以API、SDK等形式向广大开发者免费开放
3 android.support.multidex DEPRECATED
4 okhttp3 An HTTP+SPDY client for Android and Java applications.
5 com.bumptech.glide An image loading and caching library for Android focused on smooth scrolling
6 com.afollestad.materialdialogs Not even AppCompat uses Material theming for AlertDialogs on pre-Lollipop. This is a beautiful and easy solution.
7 com.bigkoo.pickerview 仿iOS的PickerView控件,有时间选择和选项选择并支持一二三级联动效果
8 com.google.zxing Official ZXing ("Zebra Crossing") project home
9 retrofit2 Type-safe REST client for Android and Java by Square, Inc.
10 com.ogaclejapan.smarttablayout A custom ViewPager title strip which gives continuous feedback to the user when scrolling
11 com.google.gson A Java serialization library that can convert Java Objects into JSON and back.
12 retrofit2 Type-safe REST client for Android and Java by Square, Inc.
13 junit.framework A programmer-oriented testing framework for Java.
14 it.sephiroth.android.library.imagezoom Android ImageView widget with zoom and pan capabilities
15 me.zhanghai.android.materialprogressbar Material design ProgressBar with consistent appearance
16 me.itangqi.waveloadingview An Android library providing to realize wave loading effect.
17 okhttp3 An HTTP+SPDY client for Android and Java applications.
18 org.apache.http The Apache HttpComponents™ project is responsible for creating and maintaining a toolset of low level Java components focused on HTTP and associated protocols.
19 me.codeboy.android.aligntextview 字体对齐的textview

静态扫描发现风险点

风险等级 风险名称

中危

检测到1处证书弱校验漏洞。

位置: classes2.dex
aen$c;

当移动App客户端使用https或ssl/tls进行通信时,如果不校验证书的可信性,将存在中间人攻击漏洞,可导致信息泄露,传输数据被篡改,甚至通过中间人劫持将原有信息替换成恶意链接或恶意代码程序,以达到远程控制等攻击意图。建议:
对SSL证书进行强校验,包括签名CA是否合法、证书是否是自签名、主机域名是否匹配、证书是否过期等。

参考案例:
www.wooyun.org/bugs/wooyun-2014-079358

参考资料:
http://drops.wooyun.org/tips/3296
http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/
https://jaq.alibaba.com/blog.htm?id=60

中危

检测到1个WebView远程执行漏洞。

位置: classes.dex
acq;->a()V

Android API < 17之前版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用addJavaScriptInterface方法,攻击者可以通过Java反射利用该漏洞执行任意Java对象的方法,导致远程代码执行安全漏洞。
(1)API等于高于17的Android系统。出于安全考虑,为了防止Java层的函数被随意调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解。
(2)API等于高于17的Android系统。建议不要使用addJavascriptInterface接口,以免带来不必要的安全隐患,如果一定要使用该接口,建议使用证书校验。
(3)使用removeJavascriptInterface移除Android系统内部的默认内置接口:searchBoxJavaBridge_、accessibility、accessibilityTraversal。

参考案例:
www.wooyun.org/bugs/wooyun-2015-0140708
www.wooyun.org/bugs/wooyun-2016-0188252
http://drops.wooyun.org/papers/548

参考资料:
http://jaq.alibaba.com/blog.htm?id=48
http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis
https://developer.android.com/reference/android/webkit/WebView.html

中危

检测到2处setSavePassword密码明文存储漏洞。

位置: classes.dex
acq;

位置: classes2.dex
ts$1;

webview的保存密码功能默认设置为true。Webview会明文保存网站上的密码到本地私有文件”databases/webview.db”中。对于可以被root的系统环境或者配合其他漏洞(如webview的同源绕过漏洞),攻击者可以获取到用户密码。
建议:显示设置webView.getSetting().setSavePassword(false)。

参考案例:
www.wooyun.org/bugs/wooyun-2010-021420
www.wooyun.org/bugs/wooyun-2013-020246

参考资料:
http://wolfeye.baidu.com/blog/
www.claudxiao.net/2013/03/android-webview-cache/

低危

检测到2处主机名弱校验检测漏洞。

位置: classes2.dex
aem;->verify(Ljava.lang.String; Ljavax.net.ssl.SSLSession;)Z
azl$1;->verify(Ljava.lang.String; Ljavax.net.ssl.SSLSession;)Z

自定义HostnameVerifier类,却不实现其verify方法验证域名直接返回true,直接接受任意域名。建议:
对SSL证书进行强校验,包括签名CA是否合法、证书是否是自签名、主机域名是否匹配、证书是否过期等。

参考资料:
http://drops.wooyun.org/tips/3296
https://www.91ri.org/12534.html

警告

检测到1潜在的XSS漏洞。

位置: classes.dex
acq;->a()V

允许WebView执行JavaScript(setJavaScriptEnabled),有可能导致XSS攻击。建议尽量避免使用。
(1)API等于高高于17的Android系统。出于安全考虑,为了防止Java层的函数被随意调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解。
(2)API等于高高于17的Android系统。建议不要使用addJavascriptInterface接口,以免带来不必要的安全隐患,如果一定要使用该接口,建议使用证书校验。
u(3)使用removeJavascriptInterface移除Android系统内部的默认内置接口:searchBoxJavaBridge_、accessibility、accessibilityTraversal。

参考案例:
www.wooyun.org/bugs/wooyun-2015-0140708
www.wooyun.org/bugs/wooyun-2016-0188252

参考资料:
http://jaq.alibaba.com/blog.htm?id=48
http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis

警告

检测到2处provider的grantUriPermissions设置为true。
com.xuexiang.xupdate.utils.UpdateFileProvider
android.support.v4.content.FileProvider4Utils


grant-uri-permission若设置为true,可被其它程序员通过uri访问到content provider的内容,容易造成信息泄露。

参考资料:
https://security.tencent.com/index.php/blog/msg/6


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书