权限列表
| # | 名称 | 说明 | 提示 |
|---|---|---|---|
| 0 | android.permission.CALL_PHONE | 允许应用程序在您不介入的情况下拨打电话。恶意应用程序可借此在您的话费单上产生意外通话费。请注意,此权限不允许应用程序拨打紧急呼救电话。 | 警告 |
| 1 | android.permission.ACCESS_COARSE_LOCATION | 访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。 | 注意 |
| 2 | android.permission.ACCESS_FINE_LOCATION | 访问精准的位置源,例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置,并可能消耗额外的电池电量。 | 注意 |
| 3 | android.permission.READ_PHONE_STATE | 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 | 注意 |
| 4 | android.permission.RECORD_AUDIO | 允许应用程序访问录音路径。 | 注意 |
| 5 | android.permission.WRITE_SETTINGS | 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 | 注意 |
| 6 | android.permission.ACCESS_NETWORK_STATE | 允许应用程序查看所有网络的状态。 | 提示 |
| 7 | android.permission.ACCESS_WIFI_STATE | 允许应用程序查看有关WLAN状态的信息。 | 提示 |
| 8 | android.permission.CAMERA | 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 | 提示 |
| 9 | android.permission.CHANGE_WIFI_STATE | 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 | 提示 |
| 10 | android.permission.FLASHLIGHT | 允许应用程序控制闪光灯。 | 提示 |
| 11 | android.permission.INTERNET | 允许程序访问网络. | 提示 |
| 12 | android.permission.MOUNT_UNMOUNT_FILESYSTEMS | 允许应用程序装载和卸载可移动存储器的文件系统。 | 提示 |
| 13 | android.permission.VIBRATE | 允许应用程序控制振动器。 | 提示 |
| 14 | android.permission.WAKE_LOCK | 允许应用程序防止手机进入休眠状态。 | 提示 |
| 15 | android.permission.WRITE_EXTERNAL_STORAGE | 允许应用程序写入SD卡。 | 提示 |
四大组件
| 组件名称 |
|---|
|
com.zhyx.qzl.ui.activity.EnterpriseAttestRemitActivity
com.zhyx.qzl.ui.activity.TestActivity com.zhyx.qzl.wxapi.WXPayEntryActivity com.zhyx.qzl.ui.activity.MainActivity com.zhyx.qzl.ui.activity.LoginActivity com.zhyx.qzl.ui.activity.loginCodeActivity com.zhyx.qzl.ui.activity.RegisterActivity com.zhyx.qzl.ui.activity.UserInfoActivity com.zhyx.qzl.ui.activity.EvidenceUploadActivity com.zhyx.qzl.ui.activity.WebPageActivity com.zhyx.qzl.ui.activity.EvidenceInfoActivity com.zhyx.qzl.ui.activity.PersonAttestActivity com.zhyx.qzl.ui.activity.EditActivity com.zhyx.qzl.ui.activity.MsgActivity com.zhyx.qzl.ui.activity.SettingActivity com.zhyx.qzl.ui.activity.ScreenCaptureActivity com.zhyx.qzl.ui.activity.CameraCaptureActivity com.zhyx.qzl.ui.activity.WelcomeActivity com.zhyx.qzl.ui.activity.ForgetPswActivity com.zhyx.qzl.ui.activity.EnterpriseAttestActivity com.zhyx.qzl.ui.activity.FileSelectActivity com.zhyx.qzl.ui.activity.AboutActivity com.zhyx.qzl.ui.activity.PayActivity com.zhyx.qzl.ui.activity.AgreementActivity com.zhyx.qzl.ui.activity.AuthenticateActivity com.zhyx.qzl.ui.activity.EditEvidenceActivity com.zhyx.qzl.ui.activity.RecordActivity com.zhyx.qzl.ui.activity.PhoneRecordActivity com.zhyx.qzl.ui.activity.PurchaseListActivity com.zhyx.qzl.ui.activity.PurchaseDetailsActivity com.zhyx.qzl.ui.activity.CameraActivity com.zhyx.qzl.ui.activity.UnUploadActivity com.zhyx.qzl.ui.activity.AllFileActivity com.zhyx.qzl.ui.activity.FileListActivity com.zhyx.qzl.ui.activity.ImageFolderActivity com.zhyx.qzl.ui.activity.QZLInfoActivity com.zhyx.qzl.ui.activity.WebPageListActivity com.zhyx.qzl.ui.activity.PreviewActivity com.zhyx.qzl.ui.activity.VideoPlayActivity com.zhyx.qzl.ui.activity.AudioPlayActivity com.zhyx.qzl.ui.activity.ImageActivity com.zhyx.qzl.ui.activity.PDFActivity com.zhyx.qzl.ui.activity.TransferListActivity com.sensetime.liveness.motion.MotionLivenessActivity com.alipay.sdk.app.H5PayActivity com.alipay.sdk.app.H5AuthActivity com.alipay.sdk.app.PayResultActivity com.alipay.sdk.app.AlipayResultActivity com.duke.dfileselector.activity.DefaultSelectorActivity com.lxj.xpermission.XPermission$PermissionActivity com.tencent.qcloud.logutils.LogActivity |
|
com.baidu.location.f
com.zhyx.qzl.ui.service.RecordService com.zlw.main.recorderlib.recorder.RecordService com.vector.update_app.service.DownloadService |
|
android.support.v4.content.FileProvider
me.jessyan.autosize.InitProvider com.vector.update_app.UpdateFileProvider com.tencent.mid.api.MidProvider |
第三方库
| # | 库名 | 介绍 |
|---|
静态扫描发现风险点
| 风险等级 | 风险名称 |
|---|---|
|
中危 |
AndroidManifest allowBackup标志检测
检测到当前标志被设置成true或没设置,这会导致adb调试备份允许恶意攻击者复制应用程序数据,造成数据泄露。
|
|
中危 |
检测到4个未移除的敏感Test或Debug组件
com.zhyx.qzl.ui.activity.EnterpriseAttestRemitActivity com.zhyx.qzl.ui.activity.TestActivity com.zhyx.qzl.ui.activity.PersonAttestActivity com.zhyx.qzl.ui.activity.EnterpriseAttestActivity 建议: 在正式发布app前移除敏感的Test或Debug组件 |
|
警告 |
Activity、Activity-alias、Service、Receiver组件导出检测
检测到4个导出的组件接收其他app的消息,这些组件会被其他app引用并导致dos攻击。
activity com.zhyx.qzl.ui.activity.TestActivity activity com.zhyx.qzl.wxapi.WXPayEntryActivity activity com.alipay.sdk.app.PayResultActivity activity com.alipay.sdk.app.AlipayResultActivity 建议: (1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。 (2)设置组件访问权限。对provider设置权限,同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。 (3)组件传输数据验证。对组件之间,特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理,防止恶意调试数据传入,更要防止敏感数据返回。 参考案例: http://www.wooyun.org/bugs/wooyun-2010-0169746 http://www.wooyun.org/bugs/wooyun-2010-0104965 参考资料: http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55 《Android安全技术解密与防范》 |
|
警告 |
检测1处組件設置了android.intent.category.BROWSABLE属性。
com.zhyx.qzl.ui.activity.TestActivity 在AndroidManifest文件中定义了android.intent.category.BROWSABLE属性的组件,可以通过浏览器唤起,这会导致远程命令执行漏洞攻击。建议: (1)APP中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。 (2)不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。 參考案例: http://www.wooyun.org/bugs/wooyun-2014-073875 http://www.wooyun.org/bugs/wooyun-2014-067798 参考资料: http://wolfeye.baidu.com/blog/intent-scheme-url/ http://www.jssec.org/dl/android_securecoding_en.pdf http://drops.wooyun.org/mobile/15202 http://blog.csdn.net/l173864930/article/details/36951805 http://drops.wooyun.org/papers/2893 |
|
警告 |
Provider:grant-uri-permission属性检测
检测到2处provider的grantUriPermissions设置为true。
android.support.v4.content.FileProvider com.vector.update_app.UpdateFileProvider grant-uri-permission若设置为true,可被其它程序员通过uri访问到content provider的内容,容易造成信息泄露。 参考资料: https://security.tencent.com/index.php/blog/msg/6 |
动态扫描发现风险点
| 风险等级 | 风险名称 |
|---|