应用基础信息
文件基本信息
应用基础信息
组件导出状态统计
组件导出状态统计
文件结构与资源列表
应用签名证书信息
APK已签名
v1 签名: True
v2 签名: True
v3 签名: False
v4 签名: False
主题: C=CN, ST=Tianjin, L=Tianjin, O=ebiz, OU=ebiz, CN=ebizbhl
签名算法: rsassa_pkcs1v15
有效期自: 2017-05-31 05:16:36+00:00
有效期至: 2067-05-19 05:16:36+00:00
发行人: C=CN, ST=Tianjin, L=Tianjin, O=ebiz, OU=ebiz, CN=ebizbhl
序列号: 0x760ecc79
哈希算法: sha256
证书MD5: 1d15e36cd0bf0187e55fe6b89a731acc
证书SHA1: f430538ca899fc112009e94d322ca5b0a5900069
证书SHA256: fdaee91370aff56e40e96fae5bb133c92e57b9bf49dcf81d83052fc06e68768f
证书SHA512: e7850d505f75a65af3e8319b424425f0c47c05e7b6dbe1fd443067272c8ebbbb8644cd0e13eca49d4aad24e7f01360489ba913e2c97d363a87b4526ade7a52fa
公钥算法: rsa
密钥长度: 2048
指纹: c332f258bc19603bf231824a7ca3c5c1c95c8401fe721d2a59d766bfea1ff8ce
共检测到 1 个唯一证书
权限声明与风险分级
权限名称 | 安全等级 | 权限内容 | 权限描述 | 关联代码 |
---|---|---|---|---|
android.permission.INTERNET | 完全互联网访问 | 允许应用程序创建网络套接字。 | ||
android.permission.WRITE_EXTERNAL_STORAGE | 读取/修改/删除外部存储内容 | 允许应用程序写入外部存储。 |
|
|
android.permission.READ_EXTERNAL_STORAGE | 读取SD卡内容 | 允许应用程序从SD卡读取信息。 |
|
|
android.permission.CAMERA | 拍照和录制视频 | 允许应用程序拍摄照片和视频,且允许应用程序收集相机在任何时候拍到的图像。 | 无 | |
android.permission.ACCESS_NETWORK_STATE | 获取网络状态 | 允许应用程序查看所有网络的状态。 | ||
android.permission.ACCESS_WIFI_STATE | 查看Wi-Fi状态 | 允许应用程序查看有关Wi-Fi状态的信息。 | ||
android.permission.CALL_PHONE | 直接拨打电话 | 允许应用程序直接拨打电话。恶意程序会在用户未知的情况下拨打电话造成损失。但不被允许拨打紧急电话。 | 无 | |
android.permission.WAKE_LOCK | 防止手机休眠 | 允许应用程序防止手机休眠,在手机屏幕关闭后后台进程仍然运行。 | ||
android.permission.CHANGE_WIFI_STATE | 改变Wi-Fi状态 | 允许应用程序改变Wi-Fi状态。 | 无 | |
android.permission.USE_FINGERPRINT | 允许使用指纹 | 此常量在 API 级别 28 中已弃用。应用程序应改为请求USE_BIOMETRIC | 无 | |
android.permission.VIBRATE | 控制振动器 | 允许应用程序控制振动器,用于消息通知振动功能。 | ||
android.permission.REQUEST_INSTALL_PACKAGES | 允许安装应用程序 | Android8.0 以上系统允许安装未知来源应用程序权限。 | 无 | |
android.permission.ACCESS_COARSE_LOCATION | 获取粗略位置 | 通过WiFi或移动基站的方式获取用户粗略的经纬度信息,定位精度大概误差在30~1500米。恶意程序可以用它来确定您的大概位置。 | ||
android.permission.ACCESS_FINE_LOCATION | 获取精确位置 | 通过GPS芯片接收卫星的定位信息,定位精度达10米以内。恶意程序可以用它来确定您所在的位置。 | ||
android.permission.MOUNT_UNMOUNT_FILESYSTEMS | 装载和卸载文件系统 | 允许应用程序装载和卸载可移动存储器的文件系统。 | 无 |
证书安全合规分析
标题 | 严重程度 | 描述信息 |
---|---|---|
已签名应用 | 信息 | 应用已使用代码签名证书进行签名。 |
Manifest 配置安全分析
序号 | 问题 | 严重程度 | 描述信息 | 操作 |
---|---|---|---|---|
1 |
应用已启用明文网络流量 [android:usesCleartextTraffic=true] |
警告 | 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。 | |
2 | Activity (com.ebiz.bhl.activity.nat.common.MainActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
3 | Activity (com.ebiz.bhl.activity.nat.common.LoginActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
4 | Activity (com.ebiz.bhl.activity.nat.common.LoginSecondActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
5 | Activity (com.ebiz.bhl.activity.nat.user.HandPwdEditActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
6 | Activity (com.ebiz.bhl.activity.nat.common.LogOutActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
7 | Activity (com.ebiz.bhl.business.activity.ClaimRecordDetailActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
8 | Activity (com.ebiz.bhl.business.activity.ClaimRecordListActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
9 | Activity (com.ebiz.bhl.business.activity.ClaimBankInfoActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
10 | Activity (com.ebiz.bhl.business.activity.PolicyListActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
11 | Activity (com.ebiz.bhl.activity.nat.user.BHLBindCardFirstActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
12 | Activity (com.ebiz.bhl.activity.nat.user.BHLBindCardActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
13 | Activity (com.ebiz.bhl.activity.nat.user.AvaterActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
14 | Activity (com.ebiz.bhl.activity.nat.user.AvaterClipActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
15 | Activity (com.ebiz.bhl.activity.nat.user.EditActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
16 | Activity (com.ebiz.bhl.business.activity.IdAuthActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
17 | Activity (com.ebiz.bhl.business.activity.NewReUploadImageActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
18 | Activity (com.ebiz.bhl.business.activity.NewClaimImageDetailActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
19 | Activity (com.ebiz.bhl.business.activity.ClaimGuideActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
20 | Activity (com.ebiz.bhl.business.activity.ClaimGuideFirstActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
21 |
Activity (com.ebiz.bhl.activity.nat.common.PushActivity) 未受保护。 存在 intent-filter。 |
警告 | 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。 | |
22 |
Activity (com.ebiz.bhl.wxapi.WXEntryActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
23 |
Activity (com.ebiz.bhl.wxapi.WXPayEntryActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
24 | Activity (com.tencent.tauth.AuthActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
25 |
Activity (com.tencent.tauth.AuthActivity) 未受保护。 存在 intent-filter。 |
警告 | 检测到 Activity 已与设备上的其他应用共享,因此可被任意应用访问。intent-filter 的存在表明该 Activity 被显式导出,存在安全风险。 | |
26 | Activity (com.ebiz.bhl.activity.nat.common.MessageBoardActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
27 | Activity (com.ebiz.bhl.activity.nat.user.HandPwdVerificationActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
28 | Activity (com.ebiz.bhl.activity.nat.common.PDFWebViewActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
29 | Activity (com.ebiz.bhl.business.activity.LIvenessFailActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
30 | Activity (com.ebiz.bhl.business.activity.ClaimAccountActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
31 | Activity (com.ebiz.bhl.business.activity.ApplyClaimAccountActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
32 | Activity (com.ebiz.bhl.business.activity.PayPwdSettingActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
33 | Activity (com.ebiz.bhl.activity.nat.user.FingerPwdLoginActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
34 | Activity (com.ebiz.bhl.activity.nat.user.FingerPwdVerifyActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
35 | Activity (com.ebiz.bhl.activity.nat.common.SetOldModeActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 | |
36 | Activity (com.megvii.idcardlib.activity.IDCardDetectActivity) 的启动模式非 standard | 高危 | Activity 启动模式设置为 "singleTask" 或 "singleInstance" 时,可能成为根 Activity,导致其他应用可读取调用 Intent 内容。涉及敏感信息时应使用 "standard" 启动模式。 |
可浏览 Activity 组件分析
ACTIVITY | INTENT |
---|---|
com.ebiz.bhl.activity.nat.common.PushActivity |
Schemes:
bhlinsurance://,
Hosts: data, Path Prefixes: /openwith, |
com.tencent.tauth.AuthActivity |
Schemes:
tencent1106241318://,
|
网络通信安全风险分析
序号 | 范围 | 严重级别 | 描述 |
---|
API调用分析
安全漏洞检测
序号 | 问题 | 等级 | 参考标准 | 文件位置 | 操作 |
---|---|---|---|---|---|
1 | 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
2 | IP地址泄露 | 警告 |
CWE: CWE-200: 信息泄露
OWASP MASVS: MSTG-CODE-2 |
升级会员:解锁高级权限 | |
3 | 此应用程序可能具有Root检测功能 | 安全 |
OWASP MASVS: MSTG-RESILIENCE-1 |
升级会员:解锁高级权限 | |
4 | 应用程序记录日志信息,不得记录敏感信息 | 信息 |
CWE: CWE-532: 通过日志文件的信息暴露
OWASP MASVS: MSTG-STORAGE-3 |
升级会员:解锁高级权限 | |
5 | 应用程序使用不安全的随机数生成器 | 警告 |
CWE: CWE-330: 使用不充分的随机数
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-6 |
升级会员:解锁高级权限 | |
6 | MD5是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 | |
7 | 使用弱加密算法 | 高危 |
CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 | |
8 | 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 | 警告 |
CWE: CWE-749: 暴露危险方法或函数
OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-PLATFORM-7 |
升级会员:解锁高级权限 | |
9 | 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 | 警告 |
CWE: CWE-200: 信息泄露
OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-PLATFORM-7 |
升级会员:解锁高级权限 | |
10 | 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 | 高危 |
CWE: CWE-649: 依赖于混淆或加密安全相关输入而不进行完整性检查
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-3 |
升级会员:解锁高级权限 | |
11 | 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 | 警告 |
CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
OWASP Top 10: M7: Client Code Quality |
升级会员:解锁高级权限 | |
12 | 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 | 安全 |
OWASP MASVS: MSTG-NETWORK-4 |
升级会员:解锁高级权限 | |
13 | 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
14 | SHA-1是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 |
Native库安全分析
序号 | 动态库 | NX(堆栈禁止执行) | PIE | STACK CANARY(栈保护) | RELRO | RPATH(指定SO搜索路径) | RUNPATH(指定SO搜索路径) | FORTIFY(常用函数加强检查) | SYMBOLS STRIPPED(裁剪符号表) |
---|---|---|---|---|---|---|---|---|---|
1 | arm64-v8a/libAnySign.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
True
info 符号被剥离 |
2 | arm64-v8a/libbankcard_v1.0.0.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
True
info 符号被剥离 |
3 | arm64-v8a/libegg-new.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
True
info 符号被剥离 |
4 | arm64-v8a/libhtsfx.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
5 | arm64-v8a/libidcard.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
6 | arm64-v8a/liblivenessdetection_v2.4.5.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
True
info 符号被剥离 |
7 | arm64-v8a/libMegviiLicenseManager-0.3.1.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
动态共享对象 (DSO)
info 共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。 |
True
info 这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出 |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
True
info 符号被剥离 |
文件分析
序号 | 问题 | 文件 |
---|---|---|
1 | 检测到应用内硬编码的证书或密钥文件。 |
assets/4180439__ebohailife.net.pfx assets/rsa_public_key.pem com/sina/weibo/sdk/net/cacert_cn.cer com/sina/weibo/sdk/net/cacert_com.cer |
行为分析
编号 | 行为 | 标签 | 文件 |
---|---|---|---|
00022 | 从给定的文件绝对路径打开文件 |
文件 |
升级会员:解锁高级权限 |
00013 | 读取文件并将其放入流中 |
文件 |
升级会员:解锁高级权限 |
00012 | 读取数据并放入缓冲流 |
文件 |
升级会员:解锁高级权限 |
00003 | 将压缩后的位图数据放入JSON对象中 |
相机 |
升级会员:解锁高级权限 |
00005 | 获取文件的绝对路径并将其放入 JSON 对象 |
文件 |
升级会员:解锁高级权限 |
00121 | 创建目录 |
文件 命令 |
升级会员:解锁高级权限 |
00004 | 获取文件名并将其放入 JSON 对象 |
文件 信息收集 |
升级会员:解锁高级权限 |
00125 | 检查给定的文件路径是否存在 |
文件 |
升级会员:解锁高级权限 |
00063 | 隐式意图(查看网页、拨打电话等) |
控制 |
升级会员:解锁高级权限 |
00051 | 通过setData隐式意图(查看网页、拨打电话等) |
控制 |
升级会员:解锁高级权限 |
00036 | 从 res/raw 目录获取资源文件 |
反射 |
升级会员:解锁高级权限 |
00014 | 将文件读入流并将其放入 JSON 对象中 |
文件 |
升级会员:解锁高级权限 |
00091 | 从广播中检索数据 |
信息收集 |
升级会员:解锁高级权限 |
00089 | 连接到 URL 并接收来自服务器的输入流 |
命令 网络 |
升级会员:解锁高级权限 |
00109 | 连接到 URL 并获取响应代码 |
网络 命令 |
升级会员:解锁高级权限 |
00025 | 监视要执行的一般操作 |
反射 |
升级会员:解锁高级权限 |
00016 | 获取设备的位置信息并将其放入 JSON 对象 |
位置 信息收集 |
升级会员:解锁高级权限 |
00130 | 获取当前WIFI信息 |
WiFi 信息收集 |
升级会员:解锁高级权限 |
00033 | 查询IMEI号 |
信息收集 |
升级会员:解锁高级权限 |
00076 | 获取当前WiFi信息并放入JSON中 |
信息收集 WiFi |
升级会员:解锁高级权限 |
00192 | 获取短信收件箱中的消息 |
短信 |
升级会员:解锁高级权限 |
00001 | 初始化位图对象并将数据(例如JPEG)压缩为位图对象 |
相机 |
升级会员:解锁高级权限 |
00054 | 从文件安装其他APK |
反射 |
升级会员:解锁高级权限 |
00078 | 获取网络运营商名称 |
信息收集 电话服务 |
升级会员:解锁高级权限 |
00202 | 打电话 |
控制 |
升级会员:解锁高级权限 |
00203 | 将电话号码放入意图中 |
控制 |
升级会员:解锁高级权限 |
00009 | 将游标中的数据放入JSON对象 |
文件 |
升级会员:解锁高级权限 |
00191 | 获取短信收件箱中的消息 |
短信 |
升级会员:解锁高级权限 |
00115 | 获取设备的最后已知位置 |
信息收集 位置 |
升级会员:解锁高级权限 |
00096 | 连接到 URL 并设置请求方法 |
命令 网络 |
升级会员:解锁高级权限 |
00072 | 将 HTTP 输入流写入文件 |
命令 网络 文件 |
升级会员:解锁高级权限 |
00094 | 连接到 URL 并从中读取数据 |
命令 网络 |
升级会员:解锁高级权限 |
00108 | 从给定的 URL 读取输入流 |
网络 命令 |
升级会员:解锁高级权限 |
00066 | 查询ICCID号码 |
信息收集 |
升级会员:解锁高级权限 |
00189 | 获取短信内容 |
短信 |
升级会员:解锁高级权限 |
00188 | 获取短信地址 |
短信 |
升级会员:解锁高级权限 |
00011 | 从 URI 查询数据(SMS、CALLLOGS) |
短信 通话记录 信息收集 |
升级会员:解锁高级权限 |
00200 | 从联系人列表中查询数据 |
信息收集 联系人 |
升级会员:解锁高级权限 |
00201 | 从通话记录中查询数据 |
信息收集 通话记录 |
升级会员:解锁高级权限 |
00077 | 读取敏感数据(短信、通话记录等) |
信息收集 短信 通话记录 日历 |
升级会员:解锁高级权限 |
敏感权限分析
恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。
IP地理位置
恶意域名检测
域名 | 状态 | 中国境内 | 位置信息 | 解析 |
---|---|---|---|---|
avd.nice2meet.cn |
安全 |
是 |
IP地址: 222.209.232.227 国家: 中国 地区: 四川 城市: 成都 查看: 高德地图 |
|
pv.sohu.com |
安全 |
是 |
IP地址: 58.216.4.245 国家: 中国 地区: 江苏 城市: 常州 查看: 高德地图 |
|
www.ebohailife.net |
安全 |
是 |
IP地址: 121.36.113.137 国家: 中国 地区: 北京 城市: 北京 查看: 高德地图 |
|
www.bhlsales.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
www.bjtime.cn |
安全 |
否 |
IP地址: 127.0.0.1 国家: - 地区: - 城市: - 查看: Google 地图 |
|
api.megvii.com |
安全 |
是 |
IP地址: 101.201.33.41 国家: 中国 地区: 北京 城市: 北京 查看: 高德地图 |
|
手机号提取
URL链接分析
URL信息 | 源码文件 |
---|---|
2.5.4.6 2.5.4.16 2.5.4.4 2.5.4.9 2.5.4.7 2.5.4.43 2.5.4.44 2.5.4.5 2.5.4.10 2.5.4.46 2.5.4.42 2.5.4.45 2.5.4.65 2.5.4.17 2.5.4.11 2.5.4.12 2.5.4.15 2.5.4.3 2.5.4.8 |
cn/org/bjca/a/a/f/k.java |
http://10.14.0.32:8183/customer-restful/restful/ |
com/ebiz/bhl/a/d.java |
2.5.4.11 2.5.4.10 2.5.4.6 2.5.4.7 2.5.4.3 2.5.4.8 |
cn/org/bjca/a/a/f/n.java |
2.5.29.36 2.5.29.20 2.5.29.30 2.5.29.35 2.5.29.21 2.5.29.23 2.5.29.29 2.5.29.9 2.5.29.56 2.5.29.46 2.5.29.33 2.5.29.55 2.5.29.28 2.5.29.24 2.5.29.31 2.5.29.54 2.5.29.37 2.5.29.14 2.5.29.17 2.5.29.15 2.5.29.19 2.5.29.32 2.5.29.18 2.5.29.16 2.5.29.27 |
cn/org/bjca/a/a/f/j.java |
http://pv.sohu.com/cityjson?ie=utf-8 |
com/ebiz/bhl/util/c.java |
https://www.baidu.com? |
com/ebiz/bhl/activity/nat/common/RegisterActivity.java |
http://www.bhlsales.com |
com/ebiz/bhl/util/e/a.java |
1.3.36.3 |
cn/org/bjca/a/a/e/p.java |
https://avd.nice2meet.cn:9889/demo/demo4.0.4.1/sdk_guide.html# |
com/ebiz/bhl/fragment/UserHomeFragment.java |
https://api.megvii.com/faceid/v3/sdk/verify https://api.megvii.com/faceid/v3/sdk/get_biz_token https://api.megvii.com |
com/ebiz/bhl/activity/nat/common/LivenessPrepareActivity.java |
http://www.bjtime.cn |
com/ebiz/bhl/util/n.java |
https://www.ebohailife.net/mixencryption/policy-restful/restful/ibp/ https://www.ebohailife.net/mixencryption/app-restful/restful/ https://www.ebohailife.net/mixencryption/app-restful/restful/config/ https://www.ebohailife.net/mixencryption/notification-restful/notification/count https://www.ebohailife.net/mixencryption/customer-restful/restful/customer/ https://www.ebohailife.net/mixencryption/content-restful/ https://www.ebohailife.net/app-restful/restful/upload/ https://www.ebohailife.net/mixencryption/reward-restful/ https://www.ebohailife.net/mixencryption/data-gather-restful/ https://www.ebohailife.net https://www.ebohailife.net/policy-restful/restful/ibp/claim/note/download?paths= |
自研引擎-S |
2.4.3.2 |
lib/arm64-v8a/libAnySign.so |
Firebase配置检测
邮箱地址提取
第三方追踪器
名称 | 类别 | 网址 |
---|---|---|
Tencent Stats | Analytics | https://reports.exodus-privacy.eu.org/trackers/116 |
Umeng Analytics | https://reports.exodus-privacy.eu.org/trackers/119 | |
Yueying Crash SDK | Analytics, Crash reporting | https://reports.exodus-privacy.eu.org/trackers/448 |
敏感凭证泄露
活动列表
显示所有 85 个 activities
服务列表
显示 2 个 services
广播接收者列表
内容提供者列表
第三方SDK
SDK名称 | 开发者 | 描述信息 |
---|---|---|
旷视 SDK | 旷视 | 检测图片或视频流中的人脸,支持针对检测出的人脸进行属性分析。 |
岳鹰全景监控 | Alibaba | 岳鹰全景监控,是阿里 UC 官方出品的先进移动应用线上监控平台,为多家知名企业提供服务。 |
爱加密 | 北京智游网安科技有限公司 | 针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,通过行业领先的第六代加固技术,爱加密为用户提供全面的移动应用加固加密技术和攻击防范服务。 |
微博 SDK | 微博 Android 平台 SDK 为第三方应用提供了简单易用的微博 API 调用服务,使第三方客户端无需了解复杂的验证机制即可进行授权登陆,并提供微博分享功能,可直接通过微博官方客户端分享微博。 | |
移动统计分析 | Umeng | U-App 作为一款专业、免费的移动统计分析产品。在日常业务中帮您解决多种数据相关问题,如数据采集与管理、业务监测、用户行为分析、App 稳定性监控及实现多种运营方案等。助力互联网企业充分挖掘用户行为数据价值,找到产品更新迭代方向,实现精细化运营,全面提升业务增长效能。 |
腾讯开放平台 | Tencent | 腾讯核心内部服务,二十年技术沉淀,助你成就更高梦想。 |
AndPermission | yanzhenjie | Android 平台上的权限管理器。 |
File Provider | Android | FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。 |
污点分析
当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……规则名称 | 描述信息 | 操作 |
---|---|---|
病毒分析 | 使用安卓恶意软件常用的API进行污点分析 | 开始分析 |
漏洞挖掘 | 漏洞挖掘场景下的污点分析 | 开始分析 |
隐私合规 | 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 | 开始分析 |
密码分析 | 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 | 开始分析 |
Callback | 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 | 开始分析 |