漏洞分析

0

高危漏洞

1

中危漏洞

0

低危漏洞

2

警告

文件名 com.wasu.hdnews.apk
上传者 ssss
文件大小 23.135576248169MB
MD5 f4141a1548e07c83b32e0ef5421a0ef9
包名 com.wasu.hdnews
Main Activity com.wasu.hdnews.WelcomeActivity
Min SDK 16
Target SDK 21

权限列表

# 名称 说明 提示
0 android.permission.ACCESS_LOCATION_EXTRA_COMMANDS 访问额外的位置信息提供程序命令。恶意应用程序可借此干扰GPS或其他位置源的正常工作。 注意
1 android.permission.BLUETOOTH 允许应用程序查看本地蓝牙手机的配置,以及建立或接受与配对设备的连接。 注意
2 android.permission.BROADCAST_STICKY 允许应用程序发送顽固广播,这些广播在结束后仍会保留。恶意应用程序可能会借此使手机耗用太多内存,从而降低其速度或稳定性。 注意
3 android.permission.CHANGE_WIFI_MULTICAST_STATE 允许应用程序接收并非直接向您的设备发送的数据包。这样在查找附近提供的服务时很有用。这种操作所耗电量大于非多播模式。 注意
4 android.permission.GET_TASKS 允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。 注意
5 android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 注意
6 android.permission.RECEIVE_BOOT_COMPLETED 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 注意
7 android.permission.RECORD_AUDIO 允许应用程序访问录音路径。 注意
8 android.permission.SYSTEM_ALERT_WINDOW 允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。 注意
9 android.permission.WRITE_SETTINGS 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。 注意
10 android.permission.ACCESS_NETWORK_STATE 允许应用程序查看所有网络的状态。 提示
11 android.permission.ACCESS_WIFI_STATE 允许应用程序查看有关WLAN状态的信息。 提示
12 android.permission.CAMERA 允许应用程序使用相机拍照,这样应用程序可随时收集进入相机镜头的图像。 提示
13 android.permission.CHANGE_CONFIGURATION 允许应用程序更改当前配置,例如语言设置或整体的字体大小。 提示
14 android.permission.CHANGE_NETWORK_STATE 允许应用程序更改网络连接的状态。 提示
15 android.permission.CHANGE_WIFI_STATE 允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接,并对配置的WLAN网络进行更改。 提示
16 android.permission.DISABLE_KEYGUARD 允许应用程序停用键锁和任何关联的密码安全设置。例如,在手机上接听电话时停用键锁,在通话结束后重新启用键锁。 提示
17 android.permission.EXPAND_STATUS_BAR 允许应用程序展开或收拢状态栏。 提示
18 android.permission.FLASHLIGHT 允许应用程序控制闪光灯。 提示
19 android.permission.GET_ACCOUNTS 允许应用程序获取手机已知的帐户列表。 提示
20 android.permission.INTERNET 允许程序访问网络. 提示
21 android.permission.MODIFY_AUDIO_SETTINGS 允许应用程序修改整个系统的音频设置,如音量和路由。 提示
22 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许应用程序装载和卸载可移动存储器的文件系统。 提示
23 android.permission.READ_LOGS 允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况,但这些信息不应包含任何个人信息或保密信息。 提示
24 android.permission.RESTART_PACKAGES 允许程序自己重启或重启其他程序 提示
25 android.permission.VIBRATE 允许应用程序控制振动器。 提示
26 android.permission.WAKE_LOCK 允许应用程序防止手机进入休眠状态。 提示
27 android.permission.WRITE_EXTERNAL_STORAGE 允许应用程序写入SD卡。 提示

四大组件

组件名称

com.wasu.hdnews.WelcomeActivity
com.wasu.hdnews.GuideActivity
com.wasu.hdnews.MainActivity
com.wasu.hdnews.AssertListActivity
com.wasu.hdnews.ColumnListActivity
com.wasu.hdnews.WasuDetailActivity
com.wasu.hdnews.LocalPlayerActivity
com.wasu.hdnews.TvDownloadActivity
com.wasu.hdnews.WasuRemoteActivity
com.wasu.hdnews.PlayHistoryActivity
com.wasu.hdnews.DownloadActivity
com.wasu.hdnews.CollectActivity
com.wasu.hdnews.BookingActivity
com.wasu.hdnews.LoginUserActivity
com.wasu.hdnews.VipActivity
com.wasu.hdnews.VipActivateCodeActivity
com.wasu.hdnews.SettingActivity
com.wasu.hdnews.HelpActivity
com.wasu.hdnews.DownloadSubActivity
com.wasu.hdnews.SearchActivity
com.wasu.hdnews.VIPListActivity
com.wasu.hdnews.MusicHomeActivity
com.wasu.hdnews.music.WsauMusicDetailActivity
com.wasu.hdnews.music.MusicLockActivity
com.wasu.hdnews.MusicListActivity
com.alipay.sdk.app.H5PayActivity
com.alipay.sdk.app.H5AuthActivity
com.wasu.activitys.AboutActivity
com.wasu.activitys.FeedbackActivity
com.wasu.activitys.VarietyDownloadActivity
com.wasu.activitys.RegisterActivity
com.hpplay.link.HpplayLinkActivity
com.zxingcustom.view.activity.HpplayCaptureActivity
com.hpplay.link.HpplayCusreActivty

com.android.buriedpoint.api.service.POIService
com.wasu.hdnews.service.DownloadService
com.wasu.hdnews.service.DownloadApplicationService
com.wasu.hdnews.music.service.MusicMediaService
com.umeng.message.UmengService
com.umeng.message.UmengIntentService
com.umeng.message.UmengMessageIntentReceiverService
com.umeng.message.UmengMessageCallbackHandlerService
com.umeng.message.UmengDownloadResourceService
com.umeng.message.local.UmengLocalNotificationService
com.hpplay.mirr.mirr.ScreenCastService

com.android.buriedpoint.api.receiver.BootBroadcastReceiver
com.wasu.hdnews.receivers.NetCheckReceiver
com.wasu.hdnews.receivers.AlarmNotificationReceiver
com.umeng.message.NotificationProxyBroadcastReceiver
com.umeng.message.SystemReceiver
com.umeng.message.MessageReceiver
com.umeng.message.ElectionReceiver
com.umeng.message.RegistrationReceiver
com.umeng.message.UmengMessageBootReceiver

com.android.buriedpoint.api.DbProvider

第三方库

# 库名 介绍

静态扫描发现风险点

风险等级 风险名称

中危

检测到当前标志被设置成true或没设置,这会导致adb调试备份允许恶意攻击者复制应用程序数据,造成数据泄露。

警告

检测到11个导出的组件接收其他app的消息,这些组件会被其他app引用并导致dos攻击。

activity com.wasu.hdnews.MainActivity
activity com.wasu.hdnews.music.WsauMusicDetailActivity
activity com.hpplay.link.HpplayLinkActivity
service com.android.buriedpoint.api.service.POIService
service com.wasu.hdnews.music.service.MusicMediaService
service com.umeng.message.UmengService
service com.umeng.message.UmengMessageIntentReceiverService
receiver com.wasu.hdnews.receivers.NetCheckReceiver
receiver com.umeng.message.SystemReceiver
receiver com.umeng.message.ElectionReceiver
receiver com.umeng.message.UmengMessageBootReceiver

建议:
(1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。
(2)设置组件访问权限。对provider设置权限,同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。
(3)组件传输数据验证。对组件之间,特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理,防止恶意调试数据传入,更要防止敏感数据返回。

参考案例:
http://www.wooyun.org/bugs/wooyun-2010-0169746
http://www.wooyun.org/bugs/wooyun-2010-0104965

参考资料:
http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55
《Android安全技术解密与防范》

警告

检测到4个导出的隐式Service组件。
service com.android.buriedpoint.api.service.POIService
service com.wasu.hdnews.music.service.MusicMediaService
service com.umeng.message.UmengService
service com.umeng.message.UmengMessageIntentReceiverService

建议:为了确保应用的安全性,启动Service时,请始终使用显式Intent,且不要为服务声明Intent过滤器。使用隐式Intent启动服务存在安全隐患,因为您无法确定哪些服务将响应Intent,且用户无法看到哪些服务已启动。从Android 5.0(API 级别 21)开始,如果使用隐式 Intent 调用 bindService(),系统会抛出异常。

参考资料:
https://developer.android.com/guide/components/intents-filters.html#Types


动态扫描发现风险点

风险等级 风险名称

服务端分析

风险等级 风险名称

警告

检测到?处XSS漏洞。
开发中...

警告

检测到?处XSS跨站漏洞。
开发中...

应用证书