声明:本平台专为移动应用安全风险研究与合规评估设计,严禁用于任何非法用途。 如有疑问或建议,欢迎加入微信群交流

应用图标

应用评分

文件基本信息

文件名称
app-release.apk
文件大小
79.6MB
MD5
023cc92b55792473e63e84c6d4471f88
SHA1
6093cbd075dcd5108a869f8bef077385a33f3902
SHA256
b69ed3b3d5db7e9bf1d0fbb879663490f6037c12833da0fdb8b77d8f684c393a
病毒检测
无法判定

应用基础信息

应用名称
猫眼巡
包名
com.tianan.myx
主活动
com.tianan.myx.MainActivity
目标SDK
33
最小SDK
26
版本号
1.0.0
子版本号
1
加固信息
未加壳
开发框架
Flutter

组件导出状态统计

查看 Activity 组件
查看 Service 组件
查看 Receiver 组件
查看 Provider 组件

扫描与分析选项

重新扫描 管理规则 动态分析

反编译与源码导出

Manifest文件 查看
APK文件 成为会员,解锁下载
Java源代码 查看 -- 下载

文件结构与资源列表

    应用签名证书信息 

    二进制文件已签名
v1 签名: False
v2 签名: True
v3 签名: False
v4 签名: False
主题: C=ch, ST=guangzhou, L=guangzhou, O=tianan, OU=tianan, CN=song
签名算法: rsassa_pkcs1v15
有效期自: 2024-11-04 16:23:41+00:00
有效期至: 2052-03-22 16:23:41+00:00
发行人: C=ch, ST=guangzhou, L=guangzhou, O=tianan, OU=tianan, CN=song
序列号: 0xe9b0f8c7ec6a3e06
哈希算法: sha384
证书MD5: b6438cae400086beeac307070a465b74
证书SHA1: e95cd4ebd63389b81f65cf535453097a9040bbe8
证书SHA256: 245373b6e6b4993c508b22c9408ec224168db128e375a30d86bd84883c4ce83b
证书SHA512: ce9571f232705779d1bab55d1a79bf7bfd3f41c7c75fd47bee170e6a84fa70dc67916d3d6b02a111de05776b103657703710a5e9d685dd6d86622e2e3e4261f6
公钥算法: rsa
密钥长度: 2048
指纹: 13cc1e59e4d83e16535dee1bb011e8cd0da83fb88ce78c3ade0c0699cc87cd4c
找到 1 个唯一证书

    权限声明与风险分级

    权限名称 安全等级 权限内容 权限描述 关联代码
    android.permission.CAMERA 危险 拍照和录制视频 允许应用程序拍摄照片和视频,且允许应用程序收集相机在任何时候拍到的图像。
    android.permission.READ_EXTERNAL_STORAGE 危险 读取SD卡内容 允许应用程序从SD卡读取信息。
    android.permission.WRITE_EXTERNAL_STORAGE 危险 读取/修改/删除外部存储内容 允许应用程序写入外部存储。
    android.permission.INTERNET 危险 完全互联网访问 允许应用程序创建网络套接字。
    android.permission.VIBRATE 普通 控制振动器 允许应用程序控制振动器,用于消息通知振动功能。
    android.permission.FLASHLIGHT 普通 控制闪光灯 允许应用程序控制闪光灯。
    android.permission.ACCESS_NETWORK_STATE 普通 获取网络状态 允许应用程序查看所有网络的状态。
    android.permission.ACCESS_WIFI_STATE 普通 查看Wi-Fi状态 允许应用程序查看有关Wi-Fi状态的信息。
    android.permission.ACCESS_FINE_LOCATION 危险 获取精确位置 通过GPS芯片接收卫星的定位信息,定位精度达10米以内。恶意程序可以用它来确定您所在的位置。
    android.permission.ACCESS_COARSE_LOCATION 危险 获取粗略位置 通过WiFi或移动基站的方式获取用户粗略的经纬度信息,定位精度大概误差在30~1500米。恶意程序可以用它来确定您的大概位置。
    android.permission.CALL_PHONE 危险 直接拨打电话 允许应用程序直接拨打电话。恶意程序会在用户未知的情况下拨打电话造成损失。但不被允许拨打紧急电话。
    android.permission.READ_MEDIA_IMAGES 危险 允许从外部存储读取图像文件 允许应用程序从外部存储读取图像文件。
    android.permission.READ_MEDIA_VIDEO 危险 允许从外部存储读取视频文件 允许应用程序从外部存储读取视频文件。
    android.permission.FOREGROUND_SERVICE 普通 创建前台Service Android 9.0以上允许常规应用程序使用 Service.startForeground,用于podcast播放(推送悬浮播放,锁屏播放)
    com.tianan.myx.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION 未知 未知权限 来自 android 引用的未知权限。

    证书安全合规分析

    高危
    0
    警告
    0
    信息
    1
    标题 严重程度 描述信息
    已签名应用 信息 应用程序使用代码签名证书进行签名

    Manifest 配置安全分析

    高危
    0
    警告
    3
    信息
    0
    屏蔽
    0
    序号 问题 严重程度 描述信息 操作
    1 应用程序已启用明文网络流量
    [android:usesCleartextTraffic=true]     		警告 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
    对应用 com.tianan.myx 屏蔽 clear_text_traffic 规则
    2 应用程序具有网络安全配置
    [android:networkSecurityConfig=@xml/net_sec]     		信息 网络安全配置功能让应用程序可以在一个安全的,声明式的配置文件中自定义他们的网络安全设置,而不需要修改应用程序代码。这些设置可以针对特定的域名和特定的应用程序进行配置。
    对应用 com.tianan.myx 屏蔽 has_network_security 规则
    3 应用程序数据存在被泄露的风险
    未设置[android:allowBackup]标志     		警告 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
    对应用 com.tianan.myx 屏蔽 allowbackup_not_set 规则
    4 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护, 但是应该检查权限的保护级别。
    Permission: android.permission.DUMP
    [android:exported=true]     		警告 发现一个 Broadcast Receiver被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。
    对应用 com.tianan.myx 屏蔽 receiver_exported_protected_permission_not_defined 规则

    可浏览 Activity 组件分析

    ACTIVITY INTENT

    网络通信安全风险分析

    高危
    1
    警告
    0
    信息
    0
    安全
    0
    序号 范围 严重级别 描述
    1 *
    		高危 基本配置不安全地配置为允许到所有域的明文流量。

    API调用分析

    API功能 源码文件
    一般功能-> 获取系统服务(getSystemService)
    一般功能-> 文件操作
    a0/b.java
    a2/b.java
    a2/k.java
    a2/m.java
    a2/p.java
    a2/r.java
    a2/s.java
    a2/t.java
    a2/w.java
    a2/z.java
    a6/b0.java
    a6/i.java
    b0/u.java
    b5/a.java
    b5/c.java
    b5/h.java
    c2/a.java
    c5/a.java
    c5/b1.java
    c5/b3.java
    c5/b4.java
    c5/b5.java
    c5/c0.java
    c5/c3.java
    c5/c5.java
    c5/d0.java
    c5/d5.java
    c5/e5.java
    c5/f4.java
    c5/f5.java
    c5/g0.java
    c5/g5.java
    c5/h.java
    c5/h0.java
    c5/i0.java
    c5/i4.java
    c5/j0.java
    c5/j5.java
    c5/k.java
    c5/l3.java
    c5/l4.java
    c5/n0.java
    c5/n5.java
    c5/p5.java
    c5/q0.java
    c5/q3.java
    c5/q4.java
    c5/q5.java
    c5/r0.java
    c5/r2.java
    c5/r4.java
    c5/s0.java
    c5/s4.java
    c5/t0.java
    c5/t4.java
    c5/u.java
    c5/x0.java
    c5/x3.java
    c5/x4.java
    com/leeson/image_pickers/activitys/PhotosActivity.java
    com/leeson/image_pickers/activitys/VideoActivity.java
    com/yalantis/ucrop/UCropActivity.java
    com/yalantis/ucrop/UCropMultipleActivity.java
    d2/a.java
    d2/b.java
    d3/a.java
    d5/b.java
    d7/a.java
    d8/a.java
    d8/c.java
    e2/d.java
    e2/j.java
    e7/b.java
    e8/a.java
    f2/a.java
    f3/r.java
    f5/f.java
    f8/b.java
    f8/c.java
    f8/e.java
    f8/f.java
    f8/g.java
    g4/a.java
    g7/j.java
    g7/k.java
    g7/m.java
    g7/n.java
    g8/j.java
    h3/i0.java
    h3/k0.java
    h6/c.java
    h7/s.java
    h7/t.java
    h7/u.java
    h8/a.java
    i4/d.java
    i4/e.java
    i5/f.java
    i5/g.java
    i6/a.java
    i6/b.java
    i7/c.java
    i7/h.java
    i8/a.java
    i8/d.java
    i8/e.java
    i8/f.java
    i8/g.java
    i8/h.java
    i8/i.java
    i8/j.java
    i8/k.java
    i8/n.java
    j6/a.java
    j6/f.java
    j6/g.java
    j8/c.java
    j8/d.java
    k6/u.java
    k6/w.java
    k8/a.java
    l1/k.java
    m8/a.java
    m8/b.java
    m8/c.java
    m8/f.java
    m8/j.java
    m8/k.java
    m8/l.java
    m8/n.java
    m8/r.java
    m8/s.java
    m8/t.java
    n2/a.java
    n2/c.java
    n2/d.java
    n2/i.java
    n5/a.java
    n7/a.java
    n7/f.java
    o1/r.java
    o3/f.java
    o5/c.java
    o8/a.java
    o8/c.java
    o8/d.java
    o8/e.java
    o8/f.java
    o8/h.java
    o8/i.java
    p1/a.java
    p1/b.java
    p1/c.java
    p4/k0.java
    p4/n.java
    p8/b.java
    p8/d.java
    q6/a.java
    q6/d.java
    r/y0.java
    r1/d.java
    r1/e.java
    r2/n.java
    r4/a.java
    r5/d.java
    r7/c.java
    s1/a.java
    s1/c.java
    s1/e.java
    s2/s.java
    t/h.java
    t/p.java
    t/s.java
    t/t.java
    t/y.java
    t1/c.java
    t1/e.java
    t1/g.java
    t1/i.java
    t1/q.java
    t1/w.java
    t1/z.java
    v1/a.java
    v1/b.java
    v1/d.java
    v1/e.java
    v1/f.java
    v3/a0.java
    v3/c.java
    v3/i.java
    w3/d1.java
    w3/e1.java
    w3/i0.java
    w3/k1.java
    w3/m2.java
    w3/pk.java
    w3/r2.java
    w3/u2.java
    w3/y0.java
    x1/a.java
    x1/b.java
    x1/c.java
    x1/d.java
    x1/e.java
    x1/f.java
    x1/k.java
    x1/s.java
    x1/t.java
    x1/u.java
    x1/w.java
    x1/x.java
    x3/g.java
    x3/jb.java
    x3/l.java
    x3/la.java
    x3/o.java
    x3/oc.java
    x3/xb.java
    x7/c1.java
    y1/a.java
    y1/b.java
    y1/c.java
    y1/d.java
    y1/f.java
    y5/c.java
    y5/h.java
    y5/i.java
    y5/j.java
    y5/k.java
    y5/l.java
    y5/m.java
    y5/r.java
    z2/c.java
    z4/a.java
    z4/b.java
    z5/a.java
    z6/q.java
    组件-> 发送广播 d7/h.java
    p2/a.java
    p4/m.java
    一般功能-> IPC通信
    加密解密-> 信息摘要算法
    组件-> 启动 Service
    组件-> 启动 Activity
    网络通信-> TCP套接字
    网络通信-> SSL证书处理
    进程操作-> 杀死进程 c5/b3.java
    网络通信-> TCP服务器套接字 c5/b3.java
    进程操作-> 获取进程pid c5/b3.java
    网络通信-> HTTP建立连接 b5/h.java
    c5/i0.java
    JavaScript 接口方法 c5/y4.java
    调用java反射机制
    隐私数据-> 获取已安装的应用程序 o1/t.java
    网络通信-> 蓝牙连接 o1/t.java
    隐私数据-> 获取GPS位置信息
    加密解密-> Crypto加解密组件
    加密解密-> Base64 加密
    命令执行-> getRuntime.exec() c5/h.java
    h6/c.java
    o5/c.java
    加密解密-> Base64 解密 x1/e.java
    z2/b0.java
    一般功能-> 传感器相关操作 c5/r3.java
    一般功能-> 获取活动网路信息
    组件-> ContentProvider o0/d.java
    一般功能-> 获取WiFi相关信息 c5/e5.java
    c5/z3.java
    DEX-> 动态加载 q3/a.java
    设备指纹-> getAllCellInfo c5/v3.java
    设备指纹-> 获取蜂窝位置信息 c5/v3.java
    设备指纹-> getSimOperator c5/e5.java
    c5/v3.java
    辅助功能accessibility相关 q0/g.java
    一般功能-> Android通知 f3/d.java
    网络通信-> HTTPS建立连接 c5/i0.java
    设备指纹-> 查看运营商信息 c5/e5.java
    一般功能-> 获取网络接口信息 c5/c5.java
    c5/e5.java

    安全漏洞检测

    高危
    1
    警告
    5
    信息
    1
    安全
    1
    屏蔽
    0
    序号 问题 等级 参考标准 文件位置 操作
    1 应用程序记录日志信息,不得记录敏感信息 信息 CWE: CWE-532: 通过日志文件的信息暴露
    OWASP MASVS: MSTG-STORAGE-3     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_logging 规则 仅对这些文件屏蔽 android_logging 规则
    2 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 警告 CWE: CWE-276: 默认权限不正确
    OWASP Top 10: M2: Insecure Data Storage
    OWASP MASVS: MSTG-STORAGE-2     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_read_write_external 规则 仅对这些文件屏蔽 android_read_write_external 规则
    3 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 警告 CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
    OWASP Top 10: M7: Client Code Quality     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_sql_raw_query 规则 仅对这些文件屏蔽 android_sql_raw_query 规则
    4 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 警告 CWE: CWE-312: 明文存储敏感信息
    OWASP Top 10: M9: Reverse Engineering
    OWASP MASVS: MSTG-STORAGE-14     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_hardcoded 规则 仅对这些文件屏蔽 android_hardcoded 规则
    5 应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。 高危 CWE: CWE-649: 依赖于混淆或加密安全相关输入而不进行完整性检查
    OWASP Top 10: M5: Insufficient Cryptography
    OWASP MASVS: MSTG-CRYPTO-3     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 cbc_padding_oracle 规则 仅对这些文件屏蔽 cbc_padding_oracle 规则
    6 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 警告 CWE: CWE-276: 默认权限不正确
    OWASP Top 10: M2: Insecure Data Storage
    OWASP MASVS: MSTG-STORAGE-2     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_temp_file 规则 仅对这些文件屏蔽 android_temp_file 规则
    7 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 安全
    OWASP MASVS: MSTG-NETWORK-4     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_ssl_pinning 规则 仅对这些文件屏蔽 android_ssl_pinning 规则
    8 应用程序使用不安全的随机数生成器 警告 CWE: CWE-330: 使用不充分的随机数
    OWASP Top 10: M5: Insufficient Cryptography
    OWASP MASVS: MSTG-CRYPTO-6     		升级会员:解锁高级权限
    对应用 com.tianan.myx 屏蔽 android_insecure_random 规则 仅对这些文件屏蔽 android_insecure_random 规则

    Native库安全分析

    序号 动态库 NX(堆栈禁止执行) PIE STACK CANARY(栈保护) RELRO RPATH(指定SO搜索路径) RUNPATH(指定SO搜索路径) FORTIFY(常用函数加强检查) SYMBOLS STRIPPED(裁剪符号表)
    1 arm64-v8a/libapp.so
    		 True
    info
    二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。    		 动态共享对象 (DSO)
    info
    共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。    		 True
    info
    这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出    		 Not Applicable
    info
    RELRO 检查不适用于 Flutter/Dart 二进制文件    		 None
    info
    二进制文件没有设置运行时搜索路径或RPATH    		 None
    info
    二进制文件没有设置 RUNPATH    		 False
    info
    二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用    		 True
    info
    符号被剥离

    文件分析

    序号 问题 文件

    行为分析

    编号 行为 标签 文件
    00121 创建目录 文件
    命令
    		升级会员:解锁高级权限
    00125 检查给定的文件路径是否存在 文件
    		升级会员:解锁高级权限
    00013 读取文件并将其放入流中 文件
    		升级会员:解锁高级权限
    00012 读取数据并放入缓冲流 文件
    		升级会员:解锁高级权限
    00096 连接到 URL 并设置请求方法 命令
    网络
    		升级会员:解锁高级权限
    00022 从给定的文件绝对路径打开文件 文件
    		升级会员:解锁高级权限
    00072 将 HTTP 输入流写入文件 命令
    网络
    文件
    		升级会员:解锁高级权限
    00089 连接到 URL 并接收来自服务器的输入流 命令
    网络
    		升级会员:解锁高级权限
    00030 通过给定的 URL 连接到远程服务器 网络
    		升级会员:解锁高级权限
    00109 连接到 URL 并获取响应代码 网络
    命令
    		升级会员:解锁高级权限
    00094 连接到 URL 并从中读取数据 命令
    网络
    		升级会员:解锁高级权限
    00108 从给定的 URL 读取输入流 网络
    命令
    		升级会员:解锁高级权限
    00162 创建 InetSocketAddress 对象并连接到它 socket
    		升级会员:解锁高级权限
    00163 创建新的 Socket 并连接到它 socket
    		升级会员:解锁高级权限
    00202 打电话 控制
    		升级会员:解锁高级权限
    00203 将电话号码放入意图中 控制
    		升级会员:解锁高级权限
    00063 隐式意图(查看网页、拨打电话等) 控制
    		升级会员:解锁高级权限
    00051 通过setData隐式意图(查看网页、拨打电话等) 控制
    		升级会员:解锁高级权限
    00014 将文件读入流并将其放入 JSON 对象中 文件
    		升级会员:解锁高级权限
    00005 获取文件的绝对路径并将其放入 JSON 对象 文件
    		升级会员:解锁高级权限
    00004 获取文件名并将其放入 JSON 对象 文件
    信息收集
    		升级会员:解锁高级权限
    00025 监视要执行的一般操作 反射
    		升级会员:解锁高级权限
    00091 从广播中检索数据 信息收集
    		升级会员:解锁高级权限
    00036 从 res/raw 目录获取资源文件 反射
    		升级会员:解锁高级权限
    00104 检查给定路径是否是目录 文件
    		升级会员:解锁高级权限
    00191 获取短信收件箱中的消息 短信
    		升级会员:解锁高级权限
    00018 准备好 JSON 对象并填写位置信息 位置
    信息收集
    		升级会员:解锁高级权限
    00192 获取短信收件箱中的消息 短信
    		升级会员:解锁高级权限
    00016 获取设备的位置信息并将其放入 JSON 对象 位置
    信息收集
    		升级会员:解锁高级权限
    00042 查询WiFi BSSID及扫描结果 信息收集
    WiFi
    		升级会员:解锁高级权限
    00161 对可访问性节点信息执行可访问性服务操作 无障碍服务
    		升级会员:解锁高级权限
    00173 获取 AccessibilityNodeInfo 屏幕中的边界并执行操作 无障碍服务
    		升级会员:解锁高级权限
    00034 查询当前数据网络类型 信息收集
    网络
    		升级会员:解锁高级权限
    00126 读取敏感数据(短信、通话记录等) 信息收集
    短信
    通话记录
    日历
    		升级会员:解锁高级权限
    00077 读取敏感数据(短信、通话记录等) 信息收集
    短信
    通话记录
    日历
    		升级会员:解锁高级权限
    00054 从文件安装其他APK 反射
    		升级会员:解锁高级权限
    00153 通过 HTTP 发送二进制数据 http
    		升级会员:解锁高级权限
    00078 获取网络运营商名称 信息收集
    电话服务
    		升级会员:解锁高级权限
    00130 获取当前WIFI信息 WiFi
    信息收集
    		升级会员:解锁高级权限

    敏感权限分析

    恶意软件常用权限 5/30
    android.permission.CAMERA
    android.permission.VIBRATE
    android.permission.ACCESS_FINE_LOCATION
    android.permission.ACCESS_COARSE_LOCATION
    android.permission.CALL_PHONE
    其它常用权限 9/46
    android.permission.READ_EXTERNAL_STORAGE
    android.permission.WRITE_EXTERNAL_STORAGE
    android.permission.INTERNET
    android.permission.FLASHLIGHT
    android.permission.ACCESS_NETWORK_STATE
    android.permission.ACCESS_WIFI_STATE
    android.permission.READ_MEDIA_IMAGES
    android.permission.READ_MEDIA_VIDEO
    android.permission.FOREGROUND_SERVICE

    恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
    其它常用权限 是已知恶意软件经常滥用的权限。

    IP地理位置

    恶意域名检测

    域名 状态 中国境内 位置信息 解析
    cgicol.amap.com 安全
    		 IP地址: 49.79.227.227
    国家: 中国
    地区: 江苏
    城市: 南通
    查看: 高德地图
    adiu.amap.com 安全
    		 IP地址: 49.79.227.227
    国家: 中国
    地区: 河北
    城市: 张家口
    查看: 高德地图
    docs.flutter.dev 安全
    		 IP地址: 199.36.158.100
    国家: 美国
    地区: 加利福尼亚
    城市: 山景城
    查看: Google 地图
    lbs.amap.com 安全
    		 IP地址: 49.79.227.227
    国家: 中国
    地区: 江苏
    城市: 南通
    查看: 高德地图

    手机号提取

    URL链接分析

    URL信息 源码文件
    http://lbs.amap.com/api/android-location-sdk/guide/utilities/errorcode/查看错误码说明
    		m1/a.java
    https://docs.flutter.dev/deployment/android#what-are-the-supported-target-architectures
    		q6/d.java
    https://github.com/baseflow/flutter-permission-handler/issues
    		o1/p.java
    https://adiu.amap.com/ws/device/adius
    		c5/e0.java
    http://cgicol.amap.com/collection/collectdata?src=basecol&ver=v74&
    		c5/u1.java

    Firebase配置检测

    邮箱地址提取

    第三方追踪器

    名称 类别 网址
    AutoNavi / Amap Location https://reports.exodus-privacy.eu.org/trackers/361

    敏感凭证泄露

    已显示 24 个secrets
    1、 高德地图的=> "com.amap.api.v2.apikey" : "c6a7e6d15c2d218d7bc4230fbdaa5731"
    2、 C6K+35Zyo6auY5b635byA5pS+5bmz5Y+w5a6Y572R5LiK5Y+R6LW35oqA5pyv5ZKo6K+i5bel5Y2V4oCUPui0puWPt+S4jktleemXrumimO+8jOWSqOivoklOVkFMSURfVVNFUl9LRVnlpoLkvZXop6PlhrM=
    3、 EYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFQ1VSRV9TRVRUSU5HUw==
    4、 IaHR0cDovL2xvZ3MuYW1hcC5jb20vd3MvbG9nL3VwbG9hZD9wcm9kdWN0PSVzJnR5cGU9JXMmcGxhdGZvcm09JXMmY2hhbm5lbD0lcyZzaWduPSVz
    5、 QY29udGVudDovL2NvbS52aXZvLnZtcy5JZFByb3ZpZGVyL0lkZW50aWZpZXJJZC9PQUlE
    6、 WYW5kcm9pZC5wZXJtaXNzaW9uLlJFQURfUEhPTkVfU1RBVEU=
    7、 9a571aa113ad987d626c0457828962e6
    8、 SYW5kcm9pZC5vcy5zdG9yYWdlLlN0b3JhZ2VWb2x1bWU
    9、 SY29tLmhleXRhcC5vcGVuaWQuSWRlbnRpZnlTZXJ2aWNl
    10、 668319f11506def6208d6afe320dfd52
    11、 EYWN0aW9uLmNvbS5oZXl0YXAub3BlbmlkLk9QRU5fSURfU0VSVklDRQ
    12、 QImtleSI6IiVzIiwicGxhdGZvcm0iOiJhbmRyb2lkIiwiZGl1IjoiJXMiLCJhZGl1IjoiJXMiLCJwa2ciOiIlcyIsIm1vZGVsIjoiJXMiLCJhcHBuYW1lIjoiJXMiLCJhcHB2ZXJzaW9uIjoiJXMiLCJzeXN2ZXJzaW9uIjoiJXMi
    13、 SWjJuYVh2eEMwSzVmNklFSmh0UXpVb2xtOVM4eU9Ua3E
    14、 WYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19XSUZJX1NUQVRF
    15、 WY29tLmFuZHJvaWQuaWQuaW1wbC5JZFByb3ZpZGVySW1wbA
    16、 fe643c382e5c3b3962141f1a2e815a78
    17、 53E53D46011A6BBAEA4FAE5442E659E0577CDD336F930C28635C322FB3F51C3C63F7FBAC9EAE448DFA2E5E5D716C4807
    18、 QY29tLnNhbXN1bmcuYW5kcm9pZC5kZXZpY2VpZHNlcnZpY2UuRGV2aWNlSWRTZXJ2aWNl
    19、 WY29tLnVvZGlzLm9wZW5kZXZpY2UuT1BFTklEU19TRVJWSUNF
    20、 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
    21、 WYW5kcm9pZC5wZXJtaXNzaW9uLldSSVRFX1NFVFRJTkdT
    22、 AYW5kcm9pZC5wZXJtaXNzaW9uLkFDQ0VTU19ORVRXT1JLX1NUQVRF
    23、 D2FF99A88BEB04683D89470D4FA72B1749DA456AB0D0F1A476477CE5A6874F53A9106423D905F9D808C0FCE8E7F1E04AC642F01FE41D0C7D933971F45CBA72B7
    24、 FB923EE67A8B4032DAA517DD8CD7A26FF7C25B0C3663F92A0B61251C4FFFA858DF169D61321C3E7919CB67DF8EFEC827

    字符串信息

    建议导出为TXT,方便查看。

    活动列表

    显示 11 个 activities

    服务列表

    显示 6 个 services

    广播接收者列表

    显示 2 个 receivers

    内容提供者列表

    显示 3 个 providers

    第三方SDK

    SDK名称 开发者 描述信息
    Flutter Google Flutter 是谷歌的移动 UI 框架,可以快速在 iOS 和 Android 上构建高质量的原生用户界面。
    BarHopper Google BarHopper 是一个 ML Kit 中的库,用于在 Android 设备上识别或解码条形码。
    Jetpack Camera Google CameraX 是 Jetpack 的新增库。利用该库,可以更轻松地向应用添加相机功能。该库提供了很多兼容性修复程序和解决方法,有助于在众多设备上打造一致的开发者体验。
    Google Play Service Google 借助 Google Play 服务,您的应用可以利用由 Google 提供的最新功能,例如地图,Google+ 等,并通过 Google Play 商店以 APK 的形式分发自动平台更新。 这样一来,您的用户可以更快地接收更新,并且可以更轻松地集成 Google 必须提供的最新信息。
    PictureSelector LuckSiege 一款针对 Android 平台下的图片选择器,支持从相册获取图片、视频、音频 & 拍照,支持裁剪(单图 or 多图裁剪)、压缩、主题自定义配置等功能,支持动态获取权限&适配 Android 5.0+ 系统的开源图片选择框架。
    Jetpack App Startup Google App Startup 库提供了一种直接,高效的方法来在应用程序启动时初始化组件。库开发人员和应用程序开发人员都可以使用 App Startup 来简化启动顺序并显式设置初始化顺序。App Startup 允许您定义共享单个内容提供程序的组件初始化程序,而不必为需要初始化的每个组件定义单独的内容提供程序。这可以大大缩短应用启动时间。
    Firebase Google Firebase 提供了分析、数据库、消息传递和崩溃报告等功能,可助您快速采取行动并专注于您的用户。
    Jetpack ProfileInstaller Google 让库能够提前预填充要由 ART 读取的编译轨迹。

    污点分析

    当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……
    规则名称 描述信息 操作
    病毒分析 使用安卓恶意软件常用的API进行污点分析 开始分析  
    漏洞挖掘 漏洞挖掘场景下的污点分析 开始分析  
    隐私合规 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 开始分析  
    密码分析 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 开始分析  
    Callback 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 开始分析