页面标题
应用基础信息
文件基本信息
应用基础信息
Google Play 应用市场信息
标题 BetterTogether:减肥评分 4.2066116
安装 50,000+ 次下载
价格 0
Android版本支持
分类 健康与健身
Play 商店链接 com.bettertogether.us
开发者 BetterTogether app
开发者 ID BetterTogether+app
开发者 地址 None
开发者 主页 https://www.bettertogether-app.com/
开发者 Email [email protected]
发布日期 2020年9月15日
隐私政策 Privacy link
关于此应用
有了 BetterTogether,当您可以参加健身挑战和比赛时,减肥就会变得充满乐趣和游戏。对于那些喜欢成为社区一员的人来说,与朋友一起健身应该是一件充满乐趣的经历。通过一款让朋友和家人聚在一起的减肥应用程序,改变您的健康和幸福。 从朋友、家人和同事那里获得减肥的动力! 🏋?️💪?🧑?🤝?🧑? 团体挑战可以成为您减肥之旅中的一个激励因素,也可以是一个有趣的元素,因为当我们设定目标并在我们的亲密圈子里向彼此提出挑战时,我们一定会更加努力地完成任务。您不再需要遵循单调的减肥程序,现在您可以与朋友一起锻炼并参加健身比赛,所有这一切都可以通过我们的健身挑战应用程序实现。 BetterTogether 节食应用程序的特点: 🙌? ➤ 在减肥的道路上,您可能面临的挣扎对您的身心健康来说可能是压倒性的。BetterTogether 有助于消除减肥过程中感到孤独和沮丧的可怕部分。当您与朋友和家人一起踏上减肥之旅时,您会充满热情和积极的能量,因为您认识的大多数人都是您旅程的一部分。您可以邀请他们参加在线减肥大赛,与好友一起达到健身的目的。👫? ➤ 使用水跟踪器,您可以轻松管理和跟踪当天的饮水量。众所周知,多喝水对改善我们的新陈代谢起着至关重要的作用,从而促进肠道健康和减脂。 ➤ BMI(身体质量指数)是评估一个人健康商数的一个重要方面,因为较高的 BMI 表明脂肪量增加。因此,这个健身应用程序有一个内置的 bmi 计算器来检查身体的胆固醇和脂肪含量,还有一个 BMI 跟踪器来控制它们。 ➤ 该应用程序提供营养师建议,让您及时咨询在线营养师,通过它您可以获得所有营养提示和信息,以开始健康饮食。 ➤ 每周目标跟踪器:不仅通过减肥跟踪器跟踪减肥情况,还可以让您与减肥伙伴在有趣的减肥游戏中竞赛以实现目标。您可以分组进行游戏,比较和分析您的进度,以确定谁是“最大的输家”。每周为自己分配一个节食赌注以达到某个既定目标也有助于实现您的梦想身材。📅? ➤ 快速瘦身是大多数人的最终目标。难怪您正在寻找减肥应用程序,而 BetterTogether 是所有基本功能的结合,例如健身技巧、饮食计划、饮食技巧等等,以达到健康的收入。它还可以作为您的计步器应用程序来记录您一天的步数,尽管您也可以同步您最喜欢的跟踪器,例如 google fit 或 fitbit 来实现这一点。📝? ➤BetterTogether 应用程序具有一项功能,可让您与锻炼伙伴一起设定每日减肥目标,并且您可以确定谁在有效地领导挑战。它不仅会逐渐将您塑造成一个好身材,而且还有助于以有趣和积极的方式培养竞争技能。 ➤通过一系列的每日小组减肥比赛获得控制体重的动力。 ➤每日根据挑战进度发送通知,通过饮水追踪器完成设定的饮水目标发送虚拟奖牌和掌声。类似地,对于通过步数跟踪器走过的步数。 ➤每周通过减肥追踪器公布获奖者。您可以与您的双胞胎朋友聊天,并通过互相进行饮食赌注来加强健身游戏。 下载 BetterTogether 应用程序,与朋友和家人一起实现您的减肥目标!
组件导出状态统计
文件结构与资源列表
应用签名证书信息
APK已签名
v1 签名: False
v2 签名: True
v3 签名: True
v4 签名: False
主题: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Android
签名算法: rsassa_pkcs1v15
有效期自: 2020-03-25 18:55:14+00:00
有效期至: 2050-03-25 18:55:14+00:00
发行人: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Android
序列号: 0x9619d2de9d4d3f33d931ddf52f76bff9e5dede0
哈希算法: sha256
证书MD5: 4bf098d84225a2f14c438743619ebc45
证书SHA1: 438cc0e1cd67e4dac46f64e71474fe0b315ad2c9
证书SHA256: 43ef9535f1077e13744eb0b85073b632f9c50b863ac766b638f38920759b06ed
证书SHA512: 7dd6d4e2a71d60e4970d4aaaf537e479ba837a11811b1b77ffc665639d18b836023ec6bded5121c014acfb87562070397ed766d724cab83e80141e7c2691ff27
公钥算法: rsa
密钥长度: 4096
指纹: e0ce3f1f832c44440674abb01098453ed94a44b8579e623b72d7ec1a613e263e
共检测到 1 个唯一证书证书安全合规分析
0
0
1
| 标题 | 严重程度 | 描述信息 |
|---|---|---|
| 已签名应用 | 信息 | 应用已使用代码签名证书进行签名。 |
权限声明与风险分级
| 权限名称 | 安全等级 | 权限内容 | 权限描述 | 关联代码 |
|---|---|---|---|---|
| android.permission.ACCESS_NETWORK_STATE | 获取网络状态 | 允许应用程序查看所有网络的状态。 |
|
|
| android.permission.INTERNET | 完全互联网访问 | 允许应用程序创建网络套接字。 |
|
|
| android.permission.GET_ACCOUNTS | 探索已知账号 | 允许应用程序访问帐户服务中的帐户列表。 | 无 | |
| android.permission.ACCESS_WIFI_STATE | 查看Wi-Fi状态 | 允许应用程序查看有关Wi-Fi状态的信息。 | ||
| android.permission.ACCESS_FINE_LOCATION | 获取精确位置 | 通过GPS芯片接收卫星的定位信息,定位精度达10米以内。恶意程序可以用它来确定您所在的位置。 | ||
| android.permission.RECEIVE_BOOT_COMPLETED | 开机自启 | 允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。 |
|
|
| android.permission.FOREGROUND_SERVICE | 创建前台Service | Android 9.0以上允许常规应用程序使用 Service.startForeground,用于podcast播放(推送悬浮播放,锁屏播放) | ||
| com.android.vending.BILLING | 应用程序具有应用内购买 | 允许应用程序从 Google Play 进行应用内购买。 | 无 | |
| android.permission.ACTIVITY_RECOGNITION | 允许应用程序识别身体活动 | 允许应用程序识别身体活动。 | 无 | |
| android.permission.BODY_SENSORS | 授予对身体传感器的访问权限,例如心率 | 允许应用程序访问来自传感器的数据,用户使用这些传感器来测量身体内部发生的事情,例如心率。 | ||
| android.permission.CAMERA | 拍照和录制视频 | 允许应用程序拍摄照片和视频,且允许应用程序收集相机在任何时候拍到的图像。 | 无 | |
| com.google.android.gms.permission.AD_ID | 应用程序显示广告 | 此应用程序使用 Google 广告 ID,并且可能会投放广告。 | 无 | |
| android.permission.POST_NOTIFICATIONS | 发送通知的运行时权限 | 允许应用发布通知,Android 13 引入的新权限。 | ||
| android.permission.health.READ_STEPS | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| android.permission.health.READ_WEIGHT | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| android.permission.health.READ_TOTAL_CALORIES_BURNED | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| android.permission.health.READ_FLOORS_CLIMBED | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| android.permission.ACCESS_ADSERVICES_ATTRIBUTION | 允许应用程序访问广告服务归因 | 这使应用能够检索与广告归因相关的信息,这些信息可用于有针对性的广告目的。应用程序可以收集有关用户如何与广告互动的数据,例如点击或展示,以衡量广告活动的有效性。 | 无 | |
| com.samsung.android.mapsagent.permission.READ_APP_INFO | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| com.huawei.appmarket.service.commondata.permission.GET_COMMON_DATA | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| com.bettertogether.us.permission.C2D_MESSAGE | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| com.google.android.c2dm.permission.RECEIVE | 接收推送通知 | 允许应用程序接收来自云的推送通知。 |
|
|
| android.permission.WAKE_LOCK | 防止手机休眠 | 允许应用程序防止手机休眠,在手机屏幕关闭后后台进程仍然运行。 | ||
| android.permission.VIBRATE | 控制振动器 | 允许应用程序控制振动器,用于消息通知振动功能。 | 无 | |
| com.sec.android.provider.badge.permission.READ | 在应用程序上显示通知计数 | 在三星手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.sec.android.provider.badge.permission.WRITE | 在应用程序上显示通知计数 | 在三星手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.htc.launcher.permission.READ_SETTINGS | 在应用程序上显示通知计数 | 在HTC手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.htc.launcher.permission.UPDATE_SHORTCUT | 在应用程序上显示通知计数 | 在HTC手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.sonyericsson.home.permission.BROADCAST_BADGE | 在应用程序上显示通知计数 | 在索尼手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.sonymobile.home.permission.PROVIDER_INSERT_BADGE | 在应用程序上显示通知计数 | 在索尼手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.anddoes.launcher.permission.UPDATE_COUNT | 在应用程序上显示通知计数 | 在apex的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.majeur.launcher.permission.UPDATE_BADGE | 在应用程序上显示通知计数 | 在solid的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.huawei.android.launcher.permission.CHANGE_BADGE | 在应用程序上显示通知计数 | 在华为手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.huawei.android.launcher.permission.READ_SETTINGS | 在应用程序上显示通知计数 | 在华为手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.huawei.android.launcher.permission.WRITE_SETTINGS | 在应用程序上显示通知计数 | 在华为手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| android.permission.READ_APP_BADGE | 显示应用程序通知 | 允许应用程序显示应用程序图标徽章。 | 无 | |
| com.oppo.launcher.permission.READ_SETTINGS | 在应用程序上显示通知计数 | 在OPPO手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| com.oppo.launcher.permission.WRITE_SETTINGS | 在应用程序上显示通知计数 | 在OPPO手机的应用程序启动图标上显示通知计数或徽章。 | 无 | |
| me.everything.badger.permission.BADGE_COUNT_READ | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| me.everything.badger.permission.BADGE_COUNT_WRITE | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| android.permission.ACCESS_COARSE_LOCATION | 获取粗略位置 | 通过WiFi或移动基站的方式获取用户粗略的经纬度信息,定位精度大概误差在30~1500米。恶意程序可以用它来确定您的大概位置。 | ||
| com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE | Google 定义的权限 | 由 Google 定义的自定义权限。 | ||
| com.bettertogether.us.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION | 未知权限 | 来自 android 引用的未知权限。 | 无 | |
| com.android.vending.CHECK_LICENSE | 未知权限 | 来自 android 引用的未知权限。 | 无 |
敏感权限分析
android.permission.ACCESS_FINE_LOCATION
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.CAMERA
android.permission.WAKE_LOCK
android.permission.VIBRATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.INTERNET
android.permission.ACCESS_WIFI_STATE
android.permission.FOREGROUND_SERVICE
android.permission.ACTIVITY_RECOGNITION
com.google.android.gms.permission.AD_ID
com.google.android.c2dm.permission.RECEIVE
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE
恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。
Manifest 配置安全分析
1
47
0
0
| 序号 | 问题 | 严重程度 | 描述信息 | 操作 |
|---|---|---|---|---|
| 1 |
应用已启用明文网络流量 [android:usesCleartextTraffic=true] |
警告 | 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。 | |
| 2 |
Activity (com.bettertogether.base.BaseActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 3 |
Activity (com.bettertogether.screens.login.LoginActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 4 |
Activity (com.bettertogether.screens.main.MainActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 5 |
Activity (com.bettertogether.screens.sign_up.SignUpActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 6 |
Activity (com.bettertogether.screens.confirmation.email.EmailConfirmationActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 7 |
Activity (com.bettertogether.screens.account.create.OnBoardAccountActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 8 |
Activity (com.bettertogether.screens.account.edit.EditAccountActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 9 |
Activity (com.bettertogether.screens.account.edit.ViewAccountActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 10 |
Activity (com.bettertogether.screens.password.reset.ResetPasswordActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 11 |
Activity (com.bettertogether.screens.confirmation.CheckYourEmailActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 12 |
Activity (com.bettertogether.screens.password.create.CreateNewPasswordActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 13 |
Activity (com.bettertogether.screens.group.create.CreateGroupActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 14 |
Activity (com.bettertogether.screens.group.edit.EditGroupActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 15 |
Activity (com.bettertogether.screens.group.details.GroupDetailsActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 16 |
Activity (com.bettertogether.screens.group.invite.InviteGroupActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 17 |
Activity (com.bettertogether.screens.records.weight.WeightRecordActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 18 |
Activity (com.bettertogether.screens.chat.view.ChatActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 19 |
Activity (com.bettertogether.screens.questions.QuestionsActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 20 |
Activity (com.bettertogether.screens.storyly.StorylyProfileActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 21 |
Activity (com.bettertogether.screens.contact.ContactUsActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 22 |
Activity (com.bettertogether.screens.intro.IntroActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 23 |
Activity (com.bettertogether.screens.welcome.WelcomeActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 24 |
App 链接 assetlinks.json 文件未找到 [android:name=com.bettertogether.fitbit.FitbitActivity] [android:host=https://www.bettertogether-app.com] |
高危 | App Link 资产验证 URL(https://www.bettertogether-app.com/.well-known/assetlinks.json)未找到或配置不正确。(状态码:406)。应用程序链接允许用户通过 Web URL 或电子邮件直接跳转到移动应用。如果 assetlinks.json 文件缺失或主机/域配置错误,恶意应用可劫持此类 URL,导致网络钓鱼攻击,泄露 URI 中的敏感信息(如 PII、OAuth 令牌、魔术链接/重置令牌等)。请务必通过托管 assetlinks.json 文件并在 Activity 的 intent-filter 中设置 [android:autoVerify="true"] 来完成 App Link 域名验证。 | |
| 25 |
Activity (com.bettertogether.fitbit.FitbitActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 26 |
Activity (com.bettertogether.fitbit.FitbitAuthActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 27 |
Activity (com.bettertogether.subscription.SubscriptionPlansActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 28 |
Activity (com.bettertogether.subscription.SubscriptionPlansInAppActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 29 |
Activity (com.bettertogether.screens.trialEnd.TrialEndReminderActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 30 |
Activity (com.facebook.CustomTabActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 31 |
Broadcast Receiver (com.bettertogether.syncUserData.AlarmReceiver) 未受保护。 [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。 | |
| 32 |
Activity (com.bettertogether.healthConnect.HealthConnectPrivacyActivity) 受权限保护,但应检查权限保护级别。 Permission: android.permission.START_VIEW_PERMISSION_USAGE [android:exported=true] |
警告 | 检测到 Activity 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 33 |
Activity (com.bettertogether.healthConnect.HealthConnectActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 34 |
Broadcast Receiver (com.onesignal.FCMBroadcastReceiver) 受权限保护,但应检查权限保护级别。 Permission: com.google.android.c2dm.permission.SEND [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 35 |
Activity (com.onesignal.NotificationOpenedActivityHMS) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 36 |
Broadcast Receiver (com.onesignal.NotificationDismissReceiver) 未受保护。 [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。 | |
| 37 |
Broadcast Receiver (com.onesignal.BootUpReceiver) 未受保护。 [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。 | |
| 38 |
Broadcast Receiver (com.onesignal.UpgradeReceiver) 未受保护。 [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出,未受任何权限保护,任意应用均可访问。 | |
| 39 |
Activity (com.onesignal.NotificationOpenedReceiver) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 40 |
Activity (com.onesignal.NotificationOpenedReceiverAndroid22AndOlder) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 41 |
Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护,但应检查权限保护级别。 Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] |
警告 | 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 42 |
Broadcast Receiver (androidx.work.impl.diagnostics.DiagnosticsReceiver) 受权限保护,但应检查权限保护级别。 Permission: android.permission.DUMP [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 43 |
Service (androidx.health.platform.client.impl.sdkservice.HealthDataSdkService) 未受保护。 [android:exported=true] |
警告 | 检测到 Service 已导出,未受任何权限保护,任意应用均可访问。 | |
| 44 |
Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护,但应检查权限保护级别。 Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] |
警告 | 检测到 Service 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 45 |
Activity (com.google.android.gms.tagmanager.TagManagerPreviewActivity) 未受保护。 [android:exported=true] |
警告 | 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。 | |
| 46 |
Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。 Permission: com.google.android.c2dm.permission.SEND [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 47 |
Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。 Permission: android.permission.DUMP [android:exported=true] |
警告 | 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。 | |
| 48 |
高优先级 Intent(999) - {1} 个命中 [android:priority] |
警告 | 通过设置较高的 Intent 优先级,应用可覆盖其他请求,可能导致安全风险。 |
可浏览 Activity 组件分析
| ACTIVITY | INTENT |
|---|---|
| com.bettertogether.screens.splash.SplashActivity |
Schemes:
betterapp://,
https://,
storylyapp://,
Hosts: links.bettertogether-app.com, luz2win.page.link, luz2win.com, storyly, Path Prefixes: /mWAM/.*, Path Patterns: /mWAM/.*, /identity/.*, .*, |
| com.bettertogether.fitbit.FitbitActivity |
Schemes:
https://,
Hosts: www.bettertogether-app.com, Path Patterns: /callback, |
| com.facebook.CustomTabActivity |
Schemes:
@7F130176://,
fbconnect://,
Hosts: cct.com.bettertogether.us, |
| com.google.android.gms.tagmanager.TagManagerPreviewActivity |
Schemes:
tagmanager.c.com.bettertogether.us://,
|
网络通信安全风险分析
| 序号 | 范围 | 严重级别 | 描述 |
|---|
API调用分析
安全漏洞检测
5
10
3
2
0
| 序号 | 问题 | 等级 | 参考标准 | 文件位置 | 操作 |
|---|---|---|---|---|---|
| 1 | 应用程序记录日志信息,不得记录敏感信息 | 信息 |
CWE: CWE-532: 通过日志文件的信息暴露
OWASP MASVS: MSTG-STORAGE-3 |
升级会员:解锁高级权限 | |
| 2 | 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 | 安全 |
OWASP MASVS: MSTG-NETWORK-4 |
升级会员:解锁高级权限 | |
| 3 | 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 | 警告 |
CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
OWASP Top 10: M7: Client Code Quality |
升级会员:解锁高级权限 | |
| 4 | 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 | 信息 |
OWASP MASVS: MSTG-STORAGE-10 |
升级会员:解锁高级权限 | |
| 5 | SHA-1是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 | |
| 6 | 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
| 7 | 应用程序使用不安全的随机数生成器 | 警告 |
CWE: CWE-330: 使用不充分的随机数
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-6 |
升级会员:解锁高级权限 | |
| 8 | 应用程序可以写入应用程序目录。敏感信息应加密 | 信息 |
CWE: CWE-276: 默认权限不正确
OWASP MASVS: MSTG-STORAGE-14 |
升级会员:解锁高级权限 | |
| 9 | 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 | 警告 |
CWE: CWE-312: 明文存储敏感信息
OWASP Top 10: M9: Reverse Engineering OWASP MASVS: MSTG-STORAGE-14 |
升级会员:解锁高级权限 | |
| 10 | 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
| 11 | 此应用程序可能具有Root检测功能 | 安全 |
OWASP MASVS: MSTG-RESILIENCE-1 |
升级会员:解锁高级权限 | |
| 12 | SSL的不安全实现。信任所有证书或接受自签名证书是一个关键的安全漏洞。此应用程序易受MITM攻击 | 高危 |
CWE: CWE-295: 证书验证不恰当
OWASP Top 10: M3: Insecure Communication OWASP MASVS: MSTG-NETWORK-3 |
升级会员:解锁高级权限 | |
| 13 | MD5是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 | |
| 14 | 该文件是World Readable。任何应用程序都可以读取文件 | 高危 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
| 15 | 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 | 高危 |
CWE: CWE-649: 依赖于混淆或加密安全相关输入而不进行完整性检查
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-3 |
升级会员:解锁高级权限 | |
| 16 | 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 | 警告 |
CWE: CWE-749: 暴露危险方法或函数
OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-PLATFORM-7 |
升级会员:解锁高级权限 | |
| 17 | 已启用远程WebView调试 | 高危 |
CWE: CWE-919: 移动应用程序中的弱点
OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-RESILIENCE-2 |
升级会员:解锁高级权限 | |
| 18 | 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 | 高危 |
CWE: CWE-79: 在Web页面生成时对输入的转义处理不恰当('跨站脚本')
OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-PLATFORM-6 |
升级会员:解锁高级权限 | |
| 19 | 此应用程序可能会请求root(超级用户)权限 | 警告 |
CWE: CWE-250: 以不必要的权限执行
OWASP MASVS: MSTG-RESILIENCE-1 |
升级会员:解锁高级权限 | |
| 20 | IP地址泄露 | 警告 |
CWE: CWE-200: 信息泄露
OWASP MASVS: MSTG-CODE-2 |
升级会员:解锁高级权限 |
Native库安全分析
| 序号 | 动态库 | NX(堆栈禁止执行) | PIE | STACK CANARY(栈保护) | RELRO | RPATH(指定SO搜索路径) | RUNPATH(指定SO搜索路径) | FORTIFY(常用函数加强检查) | SYMBOLS STRIPPED(裁剪符号表) |
|---|
文件分析
| 序号 | 问题 | 文件 |
|---|
行为分析
| 编号 | 行为 | 标签 | 文件 |
|---|---|---|---|
| 00063 | 隐式意图(查看网页、拨打电话等) |
控制 |
升级会员:解锁高级权限 |
| 00036 | 从 res/raw 目录获取资源文件 |
反射 |
升级会员:解锁高级权限 |
| 00075 | 获取设备的位置 |
信息收集 位置 |
升级会员:解锁高级权限 |
| 00137 | 获取设备的最后已知位置 |
位置 信息收集 |
升级会员:解锁高级权限 |
| 00022 | 从给定的文件绝对路径打开文件 |
文件 |
升级会员:解锁高级权限 |
| 00132 | 查询ISO国家代码 |
电话服务 信息收集 |
升级会员:解锁高级权限 |
| 00009 | 将游标中的数据放入JSON对象 |
文件 |
升级会员:解锁高级权限 |
| 00013 | 读取文件并将其放入流中 |
文件 |
升级会员:解锁高级权限 |
| 00091 | 从广播中检索数据 |
信息收集 |
升级会员:解锁高级权限 |
| 00096 | 连接到 URL 并设置请求方法 |
命令 网络 |
升级会员:解锁高级权限 |
| 00109 | 连接到 URL 并获取响应代码 |
网络 命令 |
升级会员:解锁高级权限 |
| 00153 | 通过 HTTP 发送二进制数据 |
http |
升级会员:解锁高级权限 |
| 00014 | 将文件读入流并将其放入 JSON 对象中 |
文件 |
升级会员:解锁高级权限 |
| 00005 | 获取文件的绝对路径并将其放入 JSON 对象 |
文件 |
升级会员:解锁高级权限 |
| 00089 | 连接到 URL 并接收来自服务器的输入流 |
命令 网络 |
升级会员:解锁高级权限 |
| 00030 | 通过给定的 URL 连接到远程服务器 |
网络 |
升级会员:解锁高级权限 |
| 00012 | 读取数据并放入缓冲流 |
文件 |
升级会员:解锁高级权限 |
| 00051 | 通过setData隐式意图(查看网页、拨打电话等) |
控制 |
升级会员:解锁高级权限 |
| 00112 | 获取日历事件的日期 |
信息收集 日历 |
升级会员:解锁高级权限 |
| 00028 | 从assets目录中读取文件 |
文件 |
升级会员:解锁高级权限 |
| 00125 | 检查给定的文件路径是否存在 |
文件 |
升级会员:解锁高级权限 |
| 00189 | 获取短信内容 |
短信 |
升级会员:解锁高级权限 |
| 00188 | 获取短信地址 |
短信 |
升级会员:解锁高级权限 |
| 00011 | 从 URI 查询数据(SMS、CALLLOGS) |
短信 通话记录 信息收集 |
升级会员:解锁高级权限 |
| 00191 | 获取短信收件箱中的消息 |
短信 |
升级会员:解锁高级权限 |
| 00200 | 从联系人列表中查询数据 |
信息收集 联系人 |
升级会员:解锁高级权限 |
| 00187 | 查询 URI 并检查结果 |
信息收集 短信 通话记录 日历 |
升级会员:解锁高级权限 |
| 00201 | 从通话记录中查询数据 |
信息收集 通话记录 |
升级会员:解锁高级权限 |
| 00077 | 读取敏感数据(短信、通话记录等) |
信息收集 短信 通话记录 日历 |
升级会员:解锁高级权限 |
| 00004 | 获取文件名并将其放入 JSON 对象 |
文件 信息收集 |
升级会员:解锁高级权限 |
| 00078 | 获取网络运营商名称 |
信息收集 电话服务 |
升级会员:解锁高级权限 |
| 00065 | 获取SIM卡提供商的国家代码 |
信息收集 |
升级会员:解锁高级权限 |
| 00046 | 方法反射 |
反射 |
升级会员:解锁高级权限 |
| 00171 | 将网络运算符与字符串进行比较 |
网络 |
升级会员:解锁高级权限 |
| 00072 | 将 HTTP 输入流写入文件 |
命令 网络 文件 |
升级会员:解锁高级权限 |
| 00108 | 从给定的 URL 读取输入流 |
网络 命令 |
升级会员:解锁高级权限 |
| 00114 | 创建到代理地址的安全套接字连接 |
网络 命令 |
升级会员:解锁高级权限 |
| 00015 | 将缓冲流(数据)放入 JSON 对象 |
文件 |
升级会员:解锁高级权限 |
| 00094 | 连接到 URL 并从中读取数据 |
命令 网络 |
升级会员:解锁高级权限 |
| 00162 | 创建 InetSocketAddress 对象并连接到它 |
socket |
升级会员:解锁高级权限 |
| 00163 | 创建新的 Socket 并连接到它 |
socket |
升级会员:解锁高级权限 |
| 00192 | 获取短信收件箱中的消息 |
短信 |
升级会员:解锁高级权限 |
| 00025 | 监视要执行的一般操作 |
反射 |
升级会员:解锁高级权限 |
| 00121 | 创建目录 |
文件 命令 |
升级会员:解锁高级权限 |
| 00103 | 检查活动网络类型 |
网络 |
升级会员:解锁高级权限 |
| 00098 | 检查网络是否已连接 |
网络 |
升级会员:解锁高级权限 |
| 00016 | 获取设备的位置信息并将其放入 JSON 对象 |
位置 信息收集 |
升级会员:解锁高级权限 |
IP地理位置
恶意域名检测
| 域名 | 状态 | 中国境内 | 位置信息 | 解析 |
|---|---|---|---|---|
| apps.apple.com |
安全 |
是 |
IP地址: 180.97.241.194 国家: 中国 地区: 中国江苏 城市: 南京 查看: 高德地图 |
|
| sinapps.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| sonelink.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| www.mopub.com |
安全 |
否 |
IP地址: 34.111.170.5 国家: 美国 地区: 密苏里州 城市: 堪萨斯城 查看: Google 地图 |
|
| simpression.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| api.qa.storyly.io |
安全 |
否 |
IP地址: 63.33.88.211 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| cdn.shortpixel.ai |
安全 |
否 |
IP地址: 185.199.110.153 国家: 美国 地区: 加利福尼亚 城市: 洛杉矶 查看: Google 地图 |
|
| luz2win.com |
安全 |
否 |
IP地址: 151.101.1.195 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| scdn-ssettings.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| twitter.com |
安全 |
否 |
IP地址: 185.199.110.153 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| aomedia.org |
安全 |
否 |
IP地址: 185.199.110.153 国家: 美国 地区: 宾夕法尼亚 城市: 加利福尼亚 查看: Google 地图 |
|
| sadrevenue.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| luz2win.page.link |
安全 |
否 |
IP地址: 142.250.188.225 国家: 美国 地区: 加利福尼亚 城市: 山景城 查看: Google 地图 |
|
| graph.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| sgcdsdk.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| www.amazon.com |
安全 |
否 |
IP地址: 185.199.110.153 国家: 美国 地区: 加利福尼亚 城市: 洛杉矶 查看: Google 地图 |
|
| ugc-trk.qa.storyly.io |
安全 |
否 |
IP地址: 34.254.9.36 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| www.fitbit.com |
安全 |
否 |
IP地址: 185.199.110.153 国家: 美国 地区: 密苏里州 城市: 堪萨斯城 查看: Google 地图 |
|
| api.luz2win.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| facebook.com |
安全 |
否 |
IP地址: 31.13.70.36 国家: 美国 地区: 加利福尼亚 城市: 洛杉矶 查看: Google 地图 |
|
| api.fitbit.com |
安全 |
否 |
IP地址: 142.251.40.42 国家: 美国 地区: 纽约 城市: 纽约市 查看: Google 地图 |
|
| ugc-trk.storyly.io |
安全 |
否 | 没有可用的地理位置信息。 |
|
| api.ipify.org |
安全 |
否 |
IP地址: 104.26.12.205 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| www.bettertogether-app.com |
安全 |
否 |
IP地址: 172.67.174.161 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| api.adapty.io |
安全 |
否 |
IP地址: 172.66.170.48 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| sattr.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| sdlsdk.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| api.storyly.io |
安全 |
否 |
IP地址: 52.19.26.143 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| trk.qa.storyly.io |
安全 |
否 |
IP地址: 35.201.97.85 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| svalidate-and-log.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| ssdk-services.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| bettertogether-app.com |
安全 |
否 |
IP地址: 104.21.31.14 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| graph-video.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| aps-webhandler.appsflyer.com |
安全 |
否 |
IP地址: 3.168.132.120 国家: 美国 地区: 加利福尼亚 城市: 洛杉矶 查看: Google 地图 |
|
| configs-cdn.adapty.io |
安全 |
否 |
IP地址: 172.66.170.48 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| open.storyly.io |
安全 |
否 |
IP地址: 13.248.169.71 国家: 美国 地区: 华盛顿 城市: 西雅图 查看: Google 地图 |
|
| bettertogether-production.firebaseio.com |
安全 |
否 |
IP地址: 35.201.97.85 国家: 美国 地区: 密苏里州 城市: 堪萨斯城 查看: Google 地图 |
|
| fallback.adapty.io |
安全 |
否 |
IP地址: 172.66.170.48 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| goo.gle |
安全 |
否 |
IP地址: 67.199.248.13 国家: 美国 地区: 纽约 城市: 纽约市 查看: Google 地图 |
|
| sapp.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| scdn-stestsettings.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| sregister.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| open.qa.storyly.io |
安全 |
否 |
IP地址: 34.241.140.19 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| trk.storyly.io |
安全 |
否 |
IP地址: 52.49.242.157 国家: 爱尔兰 地区: 都柏林 城市: 都柏林 查看: Google 地图 |
|
| exoplayer.dev |
安全 |
否 |
IP地址: 185.199.109.153 国家: 美国 地区: 宾夕法尼亚 城市: 加利福尼亚 查看: Google 地图 |
|
| d376fyzjbo9nop.cloudfront.net |
安全 |
否 | 没有可用的地理位置信息。 |
|
| api-eu.adapty.io |
安全 |
否 |
IP地址: 104.20.21.73 国家: 美国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
| smonitorsdk.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| slaunches.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| svalidate.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
| sconversions.s |
安全 |
否 | 没有可用的地理位置信息。 |
|
手机号提取
URL链接分析
| URL信息 | 源码文件 |
|---|---|
|
https://api2.appsflyer.com/inappevent |
自研引擎-A |
|
https://%sregister.%s/api/v |
com/appsflyer/internal/AFg1lSDK.java |
|
https://developer.apple.com/streaming/emsg-id3 https://aomedia.org/emsg/id3 |
com/appsamurai/storyly/exoplayer2/extractor/metadata/emsg/EventMessage.java |
|
https://%s/%s/%s |
xm/c.java |
|
data:a.data}};function |
com/mopub/common/ViewabilityManager.java |
|
https://graph.%s |
df/c.java |
|
https://exoplayer.dev/issues/cleartext-not-permitted |
oa/t.java |
|
data:a.data}};function |
ho/d0.java |
|
https://firebase.google.com/support/privacy/init-options |
vm/d.java |
|
https://www.amazon.com/gp/mas/dl/android?%s https://play.google.com/store/apps/details?%s https://twitter.com/%s/status/%s |
com/mopub/common/util/Intents.java |
|
https://play.google.com/store/apps/details?id=com.bettertogether.us https://www.bettertogether-app.com/mobile-link/ https://cdn.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_250/https://www.bettertogether-app.com/wp-content/uploads/2020/04/bt-logo-with-background-small.jpg https://apps.apple.com/app/id1503465416 https://d376fyzjbo9nop.cloudfront.net/storyly/avatar.png |
ze/f.java |
|
https://www.bette https://www.bettertogether-app.com/terms-and-conditions-of-use |
com/bettertogether/screens/sign_up/SignUpActivity.java |
|
https://www.bettertogether-app.com/privacy-policy/ https://www.bette https://www.bettertogether-app.com/become-an-ambassador/ https://www.bettertogether-app.com/terms-and-conditions-of-use |
ze/d.java |
|
https://cdn.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_250/https://www.bettertogether-app.com/wp-content/uploads/2020/04/bt-logo-with-background-small.jpg |
ze/b.java |
|
https://www.bette https://www.bettertogether-app.com/terms-and-conditions-of-use |
com/bettertogether/screens/social_sign_up/SocialSignUpActivity.java |
|
https://%scdn-%ssettings.%s/android/v1/%s/settings https://%scdn-%stestsettings.%s/android/v1/%s/settings |
com/appsflyer/internal/AFe1gSDK.java |
|
http://play.google.com/store/apps/details?id= |
md/c.java |
|
https://%smonitorsdk.%s/remote-debug/exception-manager |
com/appsflyer/internal/AFd1dSDK.java |
|
https://www.mopub.com/optout |
com/mopub/nativeads/m.java |
|
https://goo.gle/compose-feedback |
w1/y0.java |
|
https://%simpression.%s |
com/appsflyer/share/CrossPromotionHelper.java |
|
https://cdn.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_250/https://www.bettertogether-app.com/wp-content/uploads/2020/04/bt-logo-with-background-small.jpg |
me/e.java |
|
file:read: file:delete: file:write: file:writelock: file:readlock: |
j9/x.java |
|
https://configs-cdn.adapty.io/api/v1/sdk/ https://api.ipify.org?format=json https://fallback.adapty.io/api/v1/sdk/ |
com/adapty/internal/data/cloud/RequestFactory.java |
|
https://www.bettertogether-app.com/ https://luz2win.com/getstarted https://api.luz2win.com/v2 https://www.bettertogether-app.com/mobile-link/ |
z8/r.java |
|
http://open.qa.storyly.io/share/v2/{story_id} https://ugc-trk.qa.storyly.io/traffic https://api.qa.storyly.io/products/sdk/v2.15/{token} https://api.qa.storyly.io/ugc/v1.31/story-groups http://192.168.1.7:8000/moments.json https://api.storyly.io/ugc/v1.31/stories/report https://api.qa.storyly.io/ugc/v1.31/story-groups/ids https://192.168.1.20:8000/traffic https://trk.qa.storyly.io/traffic/{token} http://192.168.1.7:8000/id.json https://192.168.1.7:8000/product.json http://192.168.88.37:8000/base_demo_data_with_long_video.json http://192.168.1.20:8000/ugc.json https://open.qa.storyly.io/share/v2/{story_id} http://192.168.1.3:9099/traffic/{token} https://api.qa.storyly.io/sdk/v2.15/stories/{token} |
e9/z.java |
|
https://d376fyzjbo9nop.cloudfront.net/storyly/avatar.png |
mf/f.java |
|
https://exoplayer.dev/troubleshooting.html#what-do-player-is-accessed-on-the-wrong-thread-warnings-mean |
k5/e0.java |
|
https://exoplayer.dev/issues/player-accessed-on-wrong-thread |
y9/c0.java |
|
https://www.bettertogether-app.com/privacy-policy/ |
com/bettertogether/healthConnect/HealthConnectPrivacyActivity.java |
|
https://facebook.com https://.facebook.com |
xh/l0.java |
|
https://trk.storyly.io/traffic/{token} https://api.storyly.io/ugc/v1.31/story-groups https://api.storyly.io/ugc/v1.31/stories/report https://api.storyly.io/sdk/v2.15/stories/{token} https://api.storyly.io/products/sdk/v2.15/{token} https://api.storyly.io/ugc/v1.31/story-groups/ids https://open.storyly.io/share/v2/{story_id} https://ugc-trk.storyly.io/traffic |
e9/w.java |
|
https://%sattr.%s/api/v https://%sdlsdk.%s/v1.0/android/ https://%ssdk-services.%s/validate-android-signature https://%sinapps.%s/api/v https://%sconversions.%s/api/v https://%sadrevenue.%s/api/v2/generic/v6.15.1/android?app_id= https://%smonitorsdk.%s/api/remote-debug/v2.0?app_id= https://%slaunches.%s/api/v https://%svalidate.%s/api/v https://aps-webhandler.appsflyer.com/api/trigger |
com/appsflyer/internal/AFj1iSDK.java |
|
https://%sapp.%s |
com/appsflyer/internal/AFj1cSDK.java |
|
https://api.luz2win.com |
qd/c.java |
|
https://www.bettertogether-app.com/wp-content/uploads/2022/12/bt-full-color-large_2x-8-1-1024x496.png |
pe/e.java |
|
https://d376fyzjbo9nop.cloudfront.net/storyly/avatar.png |
com/bettertogether/screens/storyly/StorylyProfileActivity.java |
|
https://api.adapty.io/ https://api-eu.adapty.io/ |
com/adapty/models/AdaptyConfig.java |
|
https://www.bettertogether-app.com/callback |
id/m.java |
|
https://d376fyzjbo9nop.cloudfront.net/storyly/avatar.png |
ve/b.java |
|
19.6.0.1 |
com/mopub/mobileads/admob/BuildConfig.java |
|
https://luz2win.page.link |
vl/c.java |
|
data:a.data}};function |
ek/h.java |
|
https://graph-video.%s https://graph.%s |
ih/a0.java |
|
https://%svalidate-and-log.%s/api/v1.0/android/validateandlog?app_id= https://%sonelink.%s/shortlink-sdk/v2 https://%sgcdsdk.%s/install_data/v5.0/ |
com/appsflyer/internal/AFe1qSDK.java |
|
http://play.google.com/store/apps/details?id= |
fs/d.java |
|
https://api.fitbit.com/ |
c2/z.java |
|
https://apps.apple.com/app/id1503465416 https://play.google.com/store/apps/details?id=com.bettertogether.us https://www.bettertogether-app.com/mobile-link/ https://www.bettertogether-app.com/wp-content/uploads/2022/12/bt-full-color-large_2x-8-1-1024x496.png |
com/bettertogether/screens/group/details/GroupDetailsActivity.java |
|
https://bettertogether-app.com/applink/{story_id} |
com/bettertogether/screens/dashboard/DashboardFragment.java |
|
https://www.fitbit.com/oauth2/authorize/ |
zc/l.java |
|
https://bettertogether-production.firebaseio.com |
自研引擎-S |
Firebase配置检测
| 标题 | 严重程度 | 描述信息 |
|---|---|---|
| 应用与Firebase数据库通信 | 信息 |
该应用与位于 https://bettertogether-production.firebaseio.com 的 Firebase 数据库进行通信 |
| Firebase远程配置已启用 | 警告 |
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/133079756978/namespaces/firebase:fetch?key=AIzaSyBQ1t4VgtEbfR3JnqOv5YIh4DGA2_5Fcs4 ) 已启用。请确保这些配置不包含敏感信息。响应内容如下所示: { |
邮箱地址提取
第三方追踪器
| 名称 | 类别 | 网址 |
|---|---|---|
| AppsFlyer | Analytics | https://reports.exodus-privacy.eu.org/trackers/12 |
| Facebook Login | Identification | https://reports.exodus-privacy.eu.org/trackers/67 |
| Google AdMob | Advertisement | https://reports.exodus-privacy.eu.org/trackers/312 |
| Google Analytics | Analytics | https://reports.exodus-privacy.eu.org/trackers/48 |
| Google CrashLytics | Crash reporting | https://reports.exodus-privacy.eu.org/trackers/27 |
| Google Firebase Analytics | Analytics | https://reports.exodus-privacy.eu.org/trackers/49 |
| Google Tag Manager | Analytics | https://reports.exodus-privacy.eu.org/trackers/105 |
| OneSignal | https://reports.exodus-privacy.eu.org/trackers/193 | |
| Sentry | Crash reporting | https://reports.exodus-privacy.eu.org/trackers/447 |
| Twitter MoPub | Advertisement, Analytics | https://reports.exodus-privacy.eu.org/trackers/35 |
敏感凭证泄露
已显示 42 个secrets
1、 AdMob广告平台的=> "com.google.android.gms.ads.APPLICATION_ID" : "ca-app-pub-7371364009592949~1334696653"
2、 "com.google.firebase.crashlytics.mapping_file_id" : "1d4d0e482d074a66a2316eb9c8e85e07"
3、 "facebook_app_id" : "1053543338398292"
4、 "facebook_client_token" : "64ba45dbab7dafe580a0ea4f508a8c0f"
5、 "firebase_database_url" : "https://bettertogether-production.firebaseio.com"
6、 "google_api_key" : "AIzaSyBQ1t4VgtEbfR3JnqOv5YIh4DGA2_5Fcs4"
7、 "google_app_id" : "1:133079756978:android:00ee69afe20720fd41d9ab"
8、 "google_crash_reporting_api_key" : "AIzaSyBQ1t4VgtEbfR3JnqOv5YIh4DGA2_5Fcs4"
9、 "password_txt" : "Password"
10、 "password_txt" : "Passwort"
11、 "password_txt" : "Clave"
12、 "password_txt" : "Clave"
13、 0000016742C00BDA259000000168CE0F13200000016588840DCE7118A0002FBF1C31C3275D78
14、 5eb5a37e-b458-11e3-ac11-000c2940e62c
15、 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc
16、 470fa2b4ae81cd56ecbcda9735803434cec591fa
17、 E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1
18、 51c5550b08714889d64102bbe3c56af9
19、 df6b721c8b4d3b6eb44c861d4415007e5a35fc95
20、 cc2751449a350f668590264ed76692694a80308a
21、 eyJhY2NfaWQiOjU2NjQsImFwcF9pZCI6MTMwMzEsImluc19pZCI6MTQxNTJ9
22、 bef56d37-bf41-439e-bf64-6af2ce06c1dc
23、 69243f1c9baef84a9a3f67095e36acf2
24、 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
25、 edef8ba9-79d6-4ace-a3c8-27dcd51d21ed
26、 1234567890123456789012345678901234
27、 FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212
28、 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901
29、 UghtK3K22lVat5CCjrr6gL7C8yZxFzbQ
30、 8a3c4b262d721acd49a4bf97d5213199c86fa2b9
31、 fvQtMwCp50KnMw2boKoduKmMEVuLyfMZhrib2Bg
32、 cfc10ccaf0724c4cbc6122cf51421f03
33、 b2f7f966-d8cc-11e4-bed1-df8f05be55ba
34、 2607ca53f0d769ddc997f3e05fef45c3
35、 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3
36、 c682b8144a8dd52bc1ad63
37、 c103703e120ae8cc73c9248622f3cd1e
38、 9b8f518b086098de3d77736f9458a3d2f6f95a37
39、 Vn3kj4pUblROi2S+QfRRL9nhsaO2uoHQg6+dpEtxdTE=
40、 c56fb7d591ba6704df047fd98f535372fea00211
41、 Q++VNfEHfhN0TrC4UHO2MvnFC4Y6x2a2OPOJIHWbBu0=
42、 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F
活动列表
显示所有 53 个 activities
服务列表
显示 21 个 services
广播接收者列表
显示 20 个 receivers
内容提供者列表
显示 8 个 providers
第三方SDK
| SDK名称 | 开发者 | 描述信息 |
|---|---|---|
| Google Play Billing | Google Play 结算服务可让您在 Android 上销售数字内容。本文档介绍了 Google Play 结算服务解决方案的基本构建基块。要决定如何实现特定的 Google Play 结算服务解决方案,您必须了解这些构建基块。 | |
| Google Sign-In | 提供使用 Google 登录的 API。 | |
| Google Play Service | 借助 Google Play 服务,您的应用可以利用由 Google 提供的最新功能,例如地图,Google+ 等,并通过 Google Play 商店以 APK 的形式分发自动平台更新。 这样一来,您的用户可以更快地接收更新,并且可以更轻松地集成 Google 必须提供的最新信息。 | |
| File Provider | Android | FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。 |
| Jetpack App Startup | App Startup 库提供了一种直接,高效的方法来在应用程序启动时初始化组件。库开发人员和应用程序开发人员都可以使用 App Startup 来简化启动顺序并显式设置初始化顺序。App Startup 允许您定义共享单个内容提供程序的组件初始化程序,而不必为需要初始化的每个组件定义单独的内容提供程序。这可以大大缩短应用启动时间。 | |
| Jetpack WorkManager | 使用 WorkManager API 可以轻松地调度即使在应用退出或设备重启时仍应运行的可延迟异步任务。 | |
| Firebase | Firebase 提供了分析、数据库、消息传递和崩溃报告等功能,可助您快速采取行动并专注于您的用户。 | |
| Jetpack ProfileInstaller | 让库能够提前预填充要由 ART 读取的编译轨迹。 | |
| Firebase Analytics | Google Analytics(分析)是一款免费的应用衡量解决方案,可提供关于应用使用情况和用户互动度的分析数据。 | |
| Jetpack Room | Room 持久性库在 SQLite 的基础上提供了一个抽象层,让用户能够在充分利用 SQLite 的强大功能的同时,获享更强健的数据库访问机制。 |
污点分析
当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……| 规则名称 | 描述信息 | 操作 |
|---|---|---|
| 病毒分析 | 使用安卓恶意软件常用的API进行污点分析 | 开始分析 |
| 漏洞挖掘 | 漏洞挖掘场景下的污点分析 | 开始分析 |
| 隐私合规 | 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 | 开始分析 |
| 密码分析 | 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 | 开始分析 |
| Callback | 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 | 开始分析 |