Android审计平台

0

高危漏洞

3

中危漏洞

2

低危漏洞

5

警告


文件名	aitelife2902505887149991457.apk
上传者	zhangsanfeng
文件大小	22.96925163269MB
MD5	fdc94fdfe0cb58e686829c777e6416af
包名	com.aitemf.app
Main Activity	com.aitemf.app.mvp.ui.activity.SplashScreenActivity
Min SDK	16
Target SDK	28

权限列表

#	名称	说明	提示
0	android.permission.CALL_PHONE	允许应用程序在您不介入的情况下拨打电话。恶意应用程序可借此在您的话费单上产生意外通话费。请注意，此权限不允许应用程序拨打紧急呼救电话。	警告
1	android.permission.ACCESS_COARSE_LOCATION	访问大概的位置源(例如蜂窝网络数据库)以确定手机的大概位置(如果可以)。恶意应用程序可借此确定您所处的大概位置。	注意
2	android.permission.ACCESS_FINE_LOCATION	访问精准的位置源，例如手机上的全球定位系统(如果有)。恶意应用程序可能会借此确定您所处的位置，并可能消耗额外的电池电量。	注意
3	android.permission.ACCESS_LOCATION_EXTRA_COMMANDS	访问额外的位置信息提供程序命令。恶意应用程序可借此干扰GPS或其他位置源的正常工作。	注意
4	android.permission.GET_TASKS	允许应用程序检索有关当前和最近运行的任务的信息。恶意应用程序可借此发现有关其他应用程序的保密信息。	注意
5	android.permission.READ_PHONE_STATE	允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号，是否正在通话，以及对方的号码等。	注意
6	android.permission.RECEIVE_BOOT_COMPLETED	允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间，而且如果应用程序一直运行，会降低手机的整体速度。	注意
7	android.permission.RECORD_AUDIO	允许应用程序访问录音路径。	注意
8	android.permission.SYSTEM_ALERT_WINDOW	允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。	注意
9	android.permission.WRITE_SETTINGS	允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。	注意
10	android.permission.ACCESS_NETWORK_STATE	允许应用程序查看所有网络的状态。	提示
11	android.permission.ACCESS_WIFI_STATE	允许应用程序查看有关WLAN状态的信息。	提示
12	android.permission.CAMERA	允许应用程序使用相机拍照，这样应用程序可随时收集进入相机镜头的图像。	提示
13	android.permission.CHANGE_NETWORK_STATE	允许应用程序更改网络连接的状态。	提示
14	android.permission.CHANGE_WIFI_STATE	允许应用程序连接到WLAN接入点以及与WLAN接入点断开连接，并对配置的WLAN网络进行更改。	提示
15	android.permission.INTERNET	允许程序访问网络.	提示
16	android.permission.MODIFY_AUDIO_SETTINGS	允许应用程序修改整个系统的音频设置，如音量和路由。	提示
17	android.permission.MOUNT_UNMOUNT_FILESYSTEMS	允许应用程序装载和卸载可移动存储器的文件系统。	提示
18	android.permission.READ_LOGS	允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况，但这些信息不应包含任何个人信息或保密信息。	提示
19	android.permission.VIBRATE	允许应用程序控制振动器。	提示
20	android.permission.WAKE_LOCK	允许应用程序防止手机进入休眠状态。	提示
21	android.permission.WRITE_EXTERNAL_STORAGE	允许应用程序写入SD卡。	提示

四大组件

组件名称
Activity组件 com.aitemf.app.mvp.ui.activity.AuthAafetyVerificationActivity com.aitemf.app.mvp.ui.activity.SplashScreenActivity com.aitemf.app.mvp.ui.activity.LoginActivity com.aitemf.app.mvp.ui.activity.ForgetPasswordActivity com.aitemf.app.mvp.ui.activity.ForgetPassCodeInputActivity com.aitemf.app.mvp.ui.activity.LoginByVerCodeInputActivity com.aitemf.app.wxapi.WXPayEntryActivity com.aitemf.app.wxapi.WXEntryActivity com.tencent.bugly.beta.ui.BetaActivity com.yalantis.ucrop.ShowPhotoActivity com.aitemf.app.mvp.ui.activity.ResetPwdActivity com.aitemf.owner.mvp.ui.activity.SpecialCodeBindUserDetailActivity com.aitemf.owner.mvp.ui.activity.SuperPointDetailActivity com.aitemf.owner.mvp.ui.activity.DiscountsTicketActivity com.aitemf.owner.mvp.ui.activity.CommissionWithDrawDetailActivity com.aitemf.owner.mvp.ui.activity.CommissionWithDrawRecordListActivity com.aitemf.owner.mvp.ui.activity.CommissionWithDrawSuccessActivity com.aitemf.owner.mvp.ui.activity.CommissionWithDrawActivity com.aitemf.owner.mvp.ui.activity.BindUserByScanActivity com.aitemf.owner.mvp.ui.activity.CanWithDrawCommissionListActivity com.aitemf.owner.mvp.ui.activity.SuperPointsListActivity com.aitemf.owner.mvp.ui.activity.CommissionVeryDetailedActivity com.aitemf.owner.mvp.ui.activity.CanWithDrawCommissionActivity com.aitemf.owner.mvp.ui.activity.RefundListActivity com.aitemf.owner.mvp.ui.activity.OngoingCommissionListActivity com.aitemf.owner.mvp.ui.activity.OngoingCommissionActivity com.aitemf.owner.mvp.ui.activity.PromotionBindingActivity com.aitemf.owner.mvp.ui.activity.BindUserActivity com.aitemf.owner.mvp.ui.activity.ScanBindingSuccessActivity com.aitemf.owner.mvp.ui.activity.ScanBindingConfirmActivity com.aitemf.owner.mvp.ui.activity.SuperIntegralActivity com.aitemf.owner.mvp.ui.activity.DistributionActivity com.aitemf.owner.mvp.ui.activity.MainActivity com.aitemf.owner.mvp.ui.activity.AccountManageActivity com.aitemf.owner.mvp.ui.activity.MineDataActivity com.aitemf.owner.mvp.ui.activity.ModifiNameActivity com.aitemf.owner.mvp.ui.activity.SignatureActivity com.aitemf.owner.mvp.ui.activity.AccountSafetyActivity com.aitemf.owner.mvp.ui.activity.LoginPWDActivity com.aitemf.owner.mvp.ui.activity.ValidationCodeActivity com.aitemf.owner.mvp.ui.activity.BindPhoneActivity com.aitemf.owner.mvp.ui.activity.BindPhoneNextActivity com.aitemf.owner.mvp.ui.activity.NotReceivePhoneActivity com.aitemf.owner.mvp.ui.activity.DealPWDActivity com.aitemf.owner.mvp.ui.activity.DealPwdTwoActivity com.aitemf.owner.mvp.ui.activity.ValidationCodeDealpwdActivity com.aitemf.owner.mvp.ui.activity.AttentionStoreActivity com.aitemf.owner.mvp.ui.activity.FitmentProjectActivity com.aitemf.owner.mvp.ui.activity.ProjectDetailActivity com.aitemf.owner.mvp.ui.activity.AffirmOrderDetailActivity com.aitemf.owner.mvp.ui.activity.ticketInfoActivity com.aitemf.owner.mvp.ui.activity.WebCommonActivity com.aitemf.owner.mvp.ui.activity.OwnerShopCartActivity com.aitemf.owner.mvp.ui.activity.StoreMallProtocolActivity com.aitemf.owner.mvp.ui.activity.TheWebRulesActivity com.aitemf.owner.mvp.ui.activity.DistributionBindActivity com.umeng.socialize.media.WBShareCallBackActivity com.sina.weibo.sdk.web.WeiboSdkWebActivity com.sina.weibo.sdk.share.WbShareTransActivity com.tencent.tauth.AuthActivity com.tencent.connect.common.AssistActivity com.yalantis.ucrop.UCropActivity com.aitemf.store.mvp.ui.activity.MainActivity com.aitemf.store.mvp.ui.activity.AccountManageActivity com.aitemf.store.mvp.ui.activity.CompanyAdressActivity com.aitemf.order.mvp.ui.activity.OrderMainActivity com.aitemf.order.mvp.ui.activity.OrderCommentActivity com.aitemf.order.mvp.ui.activity.AfterSaleActivity com.aitemf.order.mvp.ui.activity.ApplyServiceActivity com.aitemf.order.mvp.ui.activity.OrderDetailBaseActivity com.aitemf.order.mvp.ui.activity.ExpressInfosActivity com.aitemf.order.mvp.ui.activity.DetailActivity com.aitemf.wallet.mvp.ui.activity.MainMyWalletActivity com.aitemf.wallet.mvp.ui.activity.SupplierExtractMoneyActivity com.aitemf.wallet.mvp.ui.activity.WalletUpActivity com.aitemf.wallet.mvp.ui.activity.TopUpSucceeActivity com.aitemf.wallet.mvp.ui.activity.DealDetailActivity com.aitemf.wallet.mvp.ui.activity.ExtractMoneyActivity com.aitemf.wallet.mvp.ui.activity.ExtactMoneySucceesActivity com.aitemf.wallet.mvp.ui.activity.DealDetailInsideActivity com.aitemf.wallet.mvp.ui.activity.BankActivity com.aitemf.wallet.mvp.ui.activity.BankDetailActivity com.aitemf.wallet.mvp.ui.activity.AddBankActivity com.aitemf.wallet.mvp.ui.activity.AddBankInformationActivity com.aitemf.wallet.mvp.ui.activity.AddBankInfoProtocolActivity com.aitemf.wallet.mvp.ui.activity.FAQActivity com.aitemf.message.mvp.ui.activity.MessageOrderActivity com.aitemf.message.mvp.ui.activity.EngineeringOrderActivity com.aitemf.message.mvp.ui.activity.MessageActivity com.aitemf.message.mvp.ui.activity.SystemNotificationActivity com.aitemf.message.mvp.ui.activity.CustomerServiceActivity com.aitemf.chat.mvp.ui.activity.MainChatActivity com.aitemf.worker.mvp.ui.activity.MainActivity com.aitemf.worker.mvp.ui.activity.AccountManagerActivity com.aitemf.worker.mvp.ui.activity.ComprehensiveEvaluationActivity com.aitemf.worker.mvp.ui.activity.MonthlyIncomeRecordActivity com.aitemf.worker.mvp.ui.activity.ManifestoActivity com.aitemf.worker.mvp.ui.activity.MineDataActivity com.aitemf.worker.mvp.ui.activity.HistoryEngineeringActivity com.aitemf.worker.mvp.ui.activity.ChoiceMyAdeptActivity com.aitemf.engineeringorder.mvp.ui.activity.OrderReceivingDetailActivity com.aitemf.engineeringorder.mvp.ui.activity.EngineeringOrderMainActivity com.aitemf.engineeringorder.mvp.ui.activity.EngineeringOrderDetailByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.MsgRecordActivity com.aitemf.engineeringorder.mvp.ui.activity.OurMainInformationActivity com.aitemf.engineeringorder.mvp.ui.activity.EngineeringOrderDetailByOwnerActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerListByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.EvaluationOfWorkersActivity com.aitemf.engineeringorder.mvp.ui.activity.ModTechnologyActivity com.aitemf.engineeringorder.mvp.ui.activity.AddOtherWorkerListByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerListByOwnerActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerDetailActivity com.aitemf.engineeringorder.mvp.ui.activity.EngineeringDetailByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.SearchTechnologyAActivity com.aitemf.engineeringorder.mvp.ui.activity.SearchTechnologyBActivity com.aitemf.engineeringorder.mvp.ui.activity.SearchAssistantActivity com.aitemf.engineeringorder.mvp.ui.activity.SearchOtherWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.MessageRecordActivity com.aitemf.engineeringorder.mvp.ui.activity.CheckAndAcceptByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.ApplyCheckAndAcceptActivity com.aitemf.engineeringorder.mvp.ui.activity.ModWorkerChargeActivity com.aitemf.engineeringorder.mvp.ui.activity.AddAssistantListByWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerRecommendActivity com.aitemf.engineeringorder.mvp.ui.activity.AssistantRecommendActivity com.aitemf.engineeringorder.mvp.ui.activity.ApplyOpenWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.EngineeringDetailByOwnerActivity com.aitemf.worker.mvp.ui.activity.AllEvaluationActivity com.aitemf.engineeringorder.mvp.ui.activity.ServiceModifiRecordActivity com.aitemf.engineeringorder.mvp.ui.activity.RecommendWorkersActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerClockPendentActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerClockDetailForWorkerActivity com.aitemf.engineeringorder.mvp.ui.activity.WorkerClockDetailForOwnerActivity com.aitemf.engineeringorder.mvp.ui.activity.BuildersDiaryExplainActivity com.aitemf.engineeringorder.mvp.ui.activity.TakeOrderActivity com.aitemf.engineeringorder.mvp.ui.activity.PMdiaryActivity com.aitemf.engineeringorder.mvp.ui.activity.PMWorkeRecordActivity com.aitemf.moduledesigner.mvp.ui.activity.AccountManagerActivity com.aitemf.moduledesigner.mvp.ui.activity.MineDataActivity com.aitemf.projectmanager.mvp.ui.activity.WorkerEvaluateActivity com.aitemf.projectmanager.mvp.ui.activity.SearchWorkerActivity com.aitemf.projectmanager.mvp.ui.activity.SearchWorkerCategoryActivity com.aitemf.projectmanager.mvp.ui.activity.WorkerListActivity com.aitemf.projectmanager.mvp.ui.activity.OrderDetailByPmActivity com.aitemf.projectmanager.mvp.ui.activity.OrderDetailByWorkerActivity com.aitemf.projectmanager.mvp.ui.activity.CreateNewOrderActivity com.aitemf.projectmanager.mvp.ui.activity.MainActivity com.aitemf.projectmanager.mvp.ui.activity.AccountManagerActivity com.aitemf.projectmanager.mvp.ui.activity.MineDataActivity com.aitemf.moduledecorationcompany.mvp.ui.activity.MainActivity com.aitemf.moduledecorationcompany.mvp.ui.activity.AccountManagerActivity com.aitemf.findworker.mvp.ui.activity.FindWorkerActivity com.aitemf.findworker.mvp.ui.activity.FindOtherActivity com.aitemf.findworker.mvp.ui.activity.AddEngineerOrderActivity com.aitemf.findworker.mvp.ui.activity.AddServiceActivity com.aitemf.findworker.mvp.ui.activity.WorkeAddressChoiceActivity com.aitemf.findworker.mvp.ui.activity.ReferencePriceActivity com.aitemf.commonidman.mvp.ui.activity.CertificationActivity com.aitemf.commonidman.mvp.ui.activity.SwitchIdentitiesActivity com.aitemf.commonidman.mvp.ui.activity.IDCartdIdentificationActivity com.aitemf.commonidman.mvp.ui.activity.IDNumAffirmActivity com.aitemf.commonidman.mvp.ui.activity.LisenceActivity com.aitemf.commonidman.mvp.ui.activity.LisenceAffirmActivity com.aitemf.commonidman.mvp.ui.activity.OwnerIdentificationActivity com.aitemf.commonidman.mvp.ui.activity.StoreIdentificationActivity com.aitemf.commonidman.mvp.ui.activity.WorkeIdentificationActivity com.aitemf.commonidman.mvp.ui.activity.DecorationIdentificationActivity com.aitemf.commonidman.mvp.ui.activity.CompanyDataSubmitActivity com.aitemf.commonidman.mvp.ui.activity.StoreDataSubmitActivity com.aitemf.commonidman.mvp.ui.activity.LivenessFaseActivity com.aitemf.address.mvp.ui.activity.ManagerAddressActivity com.aitemf.address.mvp.ui.activity.AddOrCompileAddressActivity com.aitemf.address.mvp.ui.activity.SelectAddressActivity com.aitemf.address.mvp.ui.activity.ChoiceOrderAddressActivity com.linkface.idcard.IDCardActivity com.linkface.bankcard.BankCardActivity com.linkface.card.ConfirmPictureActivity com.linkface.liveness.ui.LivenessActivity com.alipay.sdk.app.H5PayActivity com.alipay.sdk.app.H5AuthActivity com.zhihu.matisse.ui.MatisseActivity com.zhihu.matisse.internal.ui.AlbumPreviewActivity com.zhihu.matisse.internal.ui.SelectedPreviewActivity cn.jpush.android.ui.PopWinActivity cn.jpush.android.ui.PushActivity com.miaomaio.qrcode.ScannerActivity com.google.android.cameraview.TakePhotoActivity com.google.android.cameraview.ConfirmImageActivity com.soundcloud.android.crop.CropImageActivity
Service组件 com.aitemf.app.mvp.service.BindService com.aitemf.app.mvp.service.HxIntentService com.amap.api.location.APSService com.aitemf.message.mvp.ui.service.CheckNewMsgService com.hyphenate.chat.EMChatService com.hyphenate.chat.EMJobService com.aitemf.chat.mvp.ui.service.EMService com.aitemf.commonsdk.update.UpdateService com.tencent.bugly.beta.tinker.TinkerResultService cn.jpush.android.service.PushService cn.jpush.android.service.DaemonService
BroadcastReceiver组件 com.aitemf.app.mvp.ui.JpushBroadReceived com.hyphenate.chat.EMMonitorReceiver cn.jpush.android.service.PushReceiver cn.jpush.android.service.AlarmReceiver
ContentProvider组件 android.support.v4.content.FileProvider com.tencent.bugly.beta.utils.BuglyFileProvider me.jessyan.autosize.InitProvider cn.jpush.android.service.DataProvider

第三方库

#	库名	介绍
0	com.alibaba.fastjson	Fast JSON Processor https://github.com/alibaba/fastjson/wiki
1	dagger	A fast dependency injector for Android and Java.
2	com.daimajia.swipe	The Most Powerful Swipe Layout!
3	com.zhy.view	An Android Library that allows users to pull down a menu and select different actions. It can be implemented inside ScrollView, GridView, ListView.
4	com.bigkoo.pickerview	仿iOS的PickerView控件，有时间选择和选项选择并支持一二三级联动效果
5	com.alipay.sdk	支付宝移动支付功能
6	com.squareup.leakcanary	A memory leak detection library for Android and Java.
7	com.sina.weibo	新浪微博开放平台（Weibo Open Platform）是基于新浪微博海量用户和强大的传播能力，接入第三方合作伙伴服务，向用户提供丰富应用和完善服务的开放平台。将你的服务接入微博平台，有助于推广产品，增加网站/应用的流量、拓展新用户，获得收益。
8	com.umeng.socialize	社会化组件帮您接入和升级各种社交平台，快速武装您的应用！
9	com.bumptech.glide	An image loading and caching library for Android focused on smooth scrolling
10	com.tencent.smtt	腾讯X5浏览服务由QQ浏览器团队出品，致力于优化移动端webview体验的整套解决方案，使用QQ浏览器X5内核SDK和X5云端服务，解决移动端webview使用过程中出现的一切问题，优化用户的浏览体验，同时腾讯还将持续提供后续的更新和优化，为开发者提供最新最优秀的功能和服务。
11	de.hdodenhof.circleimageview	A fast circular ImageView perfect for profile images.
12	me.dm7.barcodescanner.core	Barcode Scanner Libraries for Android
13	me.dm7.barcodescanner	Barcode Scanner Libraries for Android
14	com.google.zxing	Official ZXing ("Zebra Crossing") project home
15	com.tencent.connect	腾讯开放平台
16	com.tencent.tauth	腾讯QQ互联平台为广大开发者整理了SDK列表，辅助开发者快速接入QQ登录、分享等功能。QQ互联是腾讯旗下的开放平台，通过QQ互联，网站主和开发者可以申请接入QQ登录、用户可以使用QQ账号登录接入的站点，通过添加分享和赞组件，将站点内容分享到QQ空间和朋友网，通过获取API授权，网站主还可以将用户操作同步到QQ空间和朋友网。
17	com.makeramen.roundedimageview	A fast ImageView that supports rounded corners, ovals, and circles.
18	it.sephiroth.android.library.imagezoom	Android ImageView widget with zoom and pan capabilities
19	it.sephiroth.android.library	Android library to achieve in an easy way, the behaviour of the home page in the Expedia app, with a pair of auto-scroll circular parallax ListViews.
20	com.soundcloud.android.crop	Android library project for cropping images
21	com.dd	Android Shadow Layout
22	com.google.gson	A Java serialization library that can convert Java Objects into JSON and back.
23	com.amap.api	高德LBS开放平台将高德最专业的定位、地图、搜索、导航等能力，以API、SDK等形式向广大开发者免费开放
24	com.prolificinteractive.materialcalendarview	A Material design back port of Android's CalendarView
25	com.alibaba.fastjson	Fast JSON Processor https://github.com/alibaba/fastjson/wiki
26	com.tencent.bugly	腾讯Bugly，面向移动开发者提供最专业的Crash监控、崩溃分析等质量跟踪服务，为您修复用户的每一次Crash！
27	dagger	A fast dependency injector for Android and Java.
28	com.daimajia.swipe	The Most Powerful Swipe Layout!
29	cn.jpush.android.api	极光推送，使得开发者可以即时地向其应用程序的用户推送通知或者消息，与用户保持互动，从而有效地提高留存率，提升用户体验。平台提供整合了Android推送、iOS推送的统一推送服务。
30	com.zhy.view	An Android Library that allows users to pull down a menu and select different actions. It can be implemented inside ScrollView, GridView, ListView.
31	okhttp3	An HTTP+SPDY client for Android and Java applications.
32	com.squareup.leakcanary	A memory leak detection library for Android and Java.
33	com.umeng.socialize	社会化组件帮您接入和升级各种社交平台，快速武装您的应用！
34	com.bumptech.glide	An image loading and caching library for Android focused on smooth scrolling
35	com.tencent.smtt	腾讯X5浏览服务由QQ浏览器团队出品，致力于优化移动端webview体验的整套解决方案，使用QQ浏览器X5内核SDK和X5云端服务，解决移动端webview使用过程中出现的一切问题，优化用户的浏览体验，同时腾讯还将持续提供后续的更新和优化，为开发者提供最新最优秀的功能和服务。
36	org.simple.eventbus	A lightweight eventbus library for android, simplifies communication between Activities, Fragments, Threads, Services, etc.
37	com.google.zxing	Official ZXing ("Zebra Crossing") project home
38	android.support.transition	A backport of the new Transitions API for Android.
39	retrofit2	Type-safe REST client for Android and Java by Square, Inc.
40	de.hdodenhof.circleimageview	A fast circular ImageView perfect for profile images.
41	com.bigkoo.pickerview	仿iOS的PickerView控件，有时间选择和选项选择并支持一二三级联动效果
42	android.support.multidex	DEPRECATED
43	org.json	根据Gson库使用的要求,将JSONObject格式的String 解析成实体
44	timber.log	A logger with a small, extensible API which provides utility on top of Android's normal Log class.
45	com.makeramen.roundedimageview	A fast ImageView that supports rounded corners, ovals, and circles.
46	butterknife	View "injection" library for Android.
47	com.google.gson	A Java serialization library that can convert Java Objects into JSON and back.
48	com.prolificinteractive.materialcalendarview	A Material design back port of Android's CalendarView

静态扫描发现风险点

风险等级	风险名称
中危	证书弱校验检测检测到4处证书弱校验漏洞。位置: classes4.dex com.linkface.network.SSLSocketClient$MyTrustManager; com.zxy.tiny.core.HttpUrlConnectionFetcher$TinyTrustManager; com.linkface.liveness.network.SSLSocketClient$MyTrustManager; 位置: classes.dex com.aitemf.commonsdk.utils.SSLSocketClient$MyTrustManager; 当移动App客户端使用https或ssl/tls进行通信时，如果不校验证书的可信性，将存在中间人攻击漏洞，可导致信息泄露，传输数据被篡改，甚至通过中间人劫持将原有信息替换成恶意链接或恶意代码程序，以达到远程控制等攻击意图。建议：对SSL证书进行强校验，包括签名CA是否合法、证书是否是自签名、主机域名是否匹配、证书是否过期等。参考案例： www.wooyun.org/bugs/wooyun-2014-079358 参考资料： http://drops.wooyun.org/tips/3296 http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/ https://jaq.alibaba.com/blog.htm?id=60
中危	WebView远程执行漏洞检测检测到9个WebView远程执行漏洞。位置: classes3.dex com.aitemf.owner.mvp.ui.fragment.StoreMallFragment;->initView(Landroid.view.LayoutInflater; Landroid.view.ViewGroup; Landroid.os.Bundle;)Landroid.view.View; com.aitemf.owner.mvp.ui.fragment.WebHomPageFragmnet;->initView(Landroid.view.LayoutInflater; Landroid.view.ViewGroup; Landroid.os.Bundle;)Landroid.view.View; com.aitemf.owner.mvp.ui.activity.DistributionBindActivity;->initData(Landroid.os.Bundle;)V com.aitemf.owner.mvp.ui.activity.TheWebRulesActivity;->initData(Landroid.os.Bundle;)V 位置: classes.dex com.tencent.smtt.sdk.WebView;->addJavascriptInterface(Ljava.lang.Object; Ljava.lang.String;)V com.aitemf.owner.mvp.ui.activity.WebCommonActivity;->initData(Landroid.os.Bundle;)V com.loc.h;->a()V com.tencent.smtt.sdk.WebView;->addJavascriptInterface(Ljava.lang.Object; Ljava.lang.String;)V com.tencent.bugly.crashreport.CrashReport$1;->addJavascriptInterface(Lcom.tencent.bugly.crashreport.crash.h5.H5JavaScriptInterface; Ljava.lang.String;)V Android API < 17之前版本存在远程代码执行安全漏洞，该漏洞源于程序没有正确限制使用addJavaScriptInterface方法，攻击者可以通过Java反射利用该漏洞执行任意Java对象的方法，导致远程代码执行安全漏洞。 (1)API等于高于17的Android系统。出于安全考虑，为了防止Java层的函数被随意调用，Google在4.2版本之后，规定允许被调用的函数必须以@JavascriptInterface进行注解。 (2)API等于高于17的Android系统。建议不要使用addJavascriptInterface接口，以免带来不必要的安全隐患，如果一定要使用该接口，建议使用证书校验。 (3)使用removeJavascriptInterface移除Android系统内部的默认内置接口：searchBoxJavaBridge_、accessibility、accessibilityTraversal。参考案例： www.wooyun.org/bugs/wooyun-2015-0140708 www.wooyun.org/bugs/wooyun-2016-0188252 http://drops.wooyun.org/papers/548 参考资料： http://jaq.alibaba.com/blog.htm?id=48 http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis https://developer.android.com/reference/android/webkit/WebView.html
中危	webview密码明文保存漏洞检测检测到6处setSavePassword密码明文存储漏洞。位置: classes4.dex com.umeng.socialize.sina.webview.ShareDialog; com.umeng.socialize.view.BaseDialog; 位置: classes.dex com.tencent.smtt.sdk.WebSettings; com.tencent.bugly.crashreport.CrashReport$1; com.loc.h; cn.jpush.android.d.a; webview的保存密码功能默认设置为true。Webview会明文保存网站上的密码到本地私有文件”databases/webview.db”中。对于可以被root的系统环境或者配合其他漏洞（如webview的同源绕过漏洞），攻击者可以获取到用户密码。建议：显示设置webView.getSetting().setSavePassword(false)。参考案例： www.wooyun.org/bugs/wooyun-2010-021420 www.wooyun.org/bugs/wooyun-2013-020246 参考资料： http://wolfeye.baidu.com/blog/ www.claudxiao.net/2013/03/android-webview-cache/
低危	主机名弱校验检测检测到3处主机名弱校验检测漏洞。位置: classes4.dex com.linkface.liveness.network.SSLSocketClient$1;->verify(Ljava.lang.String; Ljavax.net.ssl.SSLSession;)Z com.linkface.network.SSLSocketClient$1;->verify(Ljava.lang.String; Ljavax.net.ssl.SSLSession;)Z 位置: classes.dex com.aitemf.commonsdk.utils.SSLSocketClient$1;->verify(Ljava.lang.String; Ljavax.net.ssl.SSLSession;)Z 自定义HostnameVerifier类，却不实现其verify方法验证域名直接返回true，直接接受任意域名。建议：对SSL证书进行强校验，包括签名CA是否合法、证书是否是自签名、主机域名是否匹配、证书是否过期等。参考资料： http://drops.wooyun.org/tips/3296 https://www.91ri.org/12534.html
低危	WebView不校验证书漏洞检测到2处地方在自定义实现的WebViewClient类在onReceivedSslError调用proceed()方法。位置: classes4.dex com.alipay.sdk.auth.AuthActivity$b;->onReceivedSslError(Landroid.webkit.WebView; Landroid.webkit.SslErrorHandler; Landroid.net.http.SslError;)V 位置: classes.dex cn.jpush.android.ui.a;->onReceivedSslError(Landroid.webkit.WebView; Landroid.webkit.SslErrorHandler; Landroid.net.http.SslError;)V Android WebView组件加载网页发生证书认证错误时，会调用WebViewClient类的onReceivedSslError方法，如果该方法实现调用了handler.proceed()来忽略该证书错误，则会受到中间人攻击的威胁，可能导致隐私泄露。建议：当发生证书认证错误时，采用默认的处理方法handler.cancel()，停止加载问题页面当发生证书认证错误时，采用默认的处理方法handler.cancel()，停止加载问题页面。参考案例： http://www.wooyun.org/bugs/wooyun-2010-0109266 参考资料： https://jaq.alibaba.com/blog.htm?id=60 http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/
警告	Activity、Activity-alias、Service、Receiver组件导出检测检测到11个导出的组件接收其他app的消息，这些组件会被其他app引用并导致dos攻击。 activity com.aitemf.app.wxapi.WXPayEntryActivity activity com.aitemf.app.wxapi.WXEntryActivity activity com.sina.weibo.sdk.share.WbShareTransActivity activity com.tencent.tauth.AuthActivity activity com.soundcloud.android.crop.CropImageActivity service com.aitemf.message.mvp.ui.service.CheckNewMsgService service com.hyphenate.chat.EMChatService service com.aitemf.chat.mvp.ui.service.EMService service cn.jpush.android.service.DaemonService receiver com.aitemf.app.mvp.ui.JpushBroadReceived receiver com.hyphenate.chat.EMMonitorReceiver 建议： (1)最小化组件暴露。对不会参与跨应用调用的组件建议显示添加android:exported="false"属性。 (2)设置组件访问权限。对provider设置权限，同时将权限的protectionLevel设置为"signature"或"signatureOrSystem"。 (3)组件传输数据验证。对组件之间，特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理，防止恶意调试数据传入，更要防止敏感数据返回。参考案例： http://www.wooyun.org/bugs/wooyun-2010-0169746 http://www.wooyun.org/bugs/wooyun-2010-0104965 参考资料： http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.Wz4OeC&id=55 《Android安全技术解密与防范》
警告	Implicit Service漏洞检测检测到1个导出的隐式Service组件。 service cn.jpush.android.service.DaemonService 建议：为了确保应用的安全性，启动Service时，请始终使用显式Intent，且不要为服务声明Intent过滤器。使用隐式Intent启动服务存在安全隐患，因为您无法确定哪些服务将响应Intent，且用户无法看到哪些服务已启动。从Android 5.0（API 级别 21）开始，如果使用隐式 Intent 调用 bindService()，系统会抛出异常。参考资料： https://developer.android.com/guide/components/intents-filters.html#Types
警告	Intent Based攻击检测检测2处組件設置了android.intent.category.BROWSABLE属性。 com.aitemf.app.mvp.ui.activity.SplashScreenActivity com.tencent.tauth.AuthActivity 在AndroidManifest文件中定义了android.intent.category.BROWSABLE属性的组件，可以通过浏览器唤起，这会导致远程命令执行漏洞攻击。建议： (1)APP中任何接收外部输入数据的地方都是潜在的攻击点，过滤检查来自网页的参数。 (2)不要通过网页传输敏感信息，有的网站为了引导已经登录的用户到APP上使用，会使用脚本动态的生成URL Scheme的参数，其中包括了用户名、密码或者登录态token等敏感信息，让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接，但是如果用户不注意，就会使用恶意应用打开，导致敏感信息泄露或者其他风险。參考案例： http://www.wooyun.org/bugs/wooyun-2014-073875 http://www.wooyun.org/bugs/wooyun-2014-067798 参考资料： http://wolfeye.baidu.com/blog/intent-scheme-url/ http://www.jssec.org/dl/android_securecoding_en.pdf http://drops.wooyun.org/mobile/15202 http://blog.csdn.net/l173864930/article/details/36951805 http://drops.wooyun.org/papers/2893
警告	WebView潜在XSS攻击检测检测到6潜在的XSS漏洞。位置: classes4.dex com.alipay.sdk.auth.AuthActivity;->onCreate(Landroid.os.Bundle;)V com.alipay.sdk.util.l;->a(Landroid.app.Activity; Ljava.lang.String; Ljava.lang.String;)Landroid.webkit.WebView; com.umeng.socialize.view.BaseDialog;->setUpWebView()Z 位置: classes.dex cn.jpush.android.d.a;->a(Landroid.webkit.WebSettings;)V com.loc.h;->a()V com.tencent.bugly.crashreport.CrashReport$1;->setJavaScriptEnabled(Z)V 允许WebView执行JavaScript(setJavaScriptEnabled)，有可能导致XSS攻击。建议尽量避免使用。 (1)API等于高高于17的Android系统。出于安全考虑，为了防止Java层的函数被随意调用，Google在4.2版本之后，规定允许被调用的函数必须以@JavascriptInterface进行注解。 (2)API等于高高于17的Android系统。建议不要使用addJavascriptInterface接口，以免带来不必要的安全隐患，如果一定要使用该接口，建议使用证书校验。 u(3)使用removeJavascriptInterface移除Android系统内部的默认内置接口：searchBoxJavaBridge_、accessibility、accessibilityTraversal。参考案例： www.wooyun.org/bugs/wooyun-2015-0140708 www.wooyun.org/bugs/wooyun-2016-0188252 参考资料： http://jaq.alibaba.com/blog.htm?id=48 http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis
警告	Provider：grant-uri-permission属性检测检测到2处provider的grantUriPermissions设置为true。 android.support.v4.content.FileProvider com.tencent.bugly.beta.utils.BuglyFileProvider grant-uri-permission若设置为true，可被其它程序员通过uri访问到content provider的内容，容易造成信息泄露。参考资料： https://security.tencent.com/index.php/blog/msg/6

目录

0

3

2

5

权限列表

四大组件

第三方库

静态扫描发现风险点

动态扫描发现风险点

服务端分析

应用证书

风险等级	风险名称
警告	SQL注入漏洞检测检测到？处XSS漏洞。开发中...
警告	XSS跨站漏洞检测检测到？处XSS跨站漏洞。开发中...