文件信息
文件名称 notification.apk应用信息
应用名称 Aptoide证书信息
二进制文件已签名
v1 签名: True
v2 签名: False
v3 签名: False
v4 签名: False
主题: ST=Portugal
签名算法: rsassa_pkcs1v15
有效期自: 2009-09-22 14:53:51+00:00
有效期至: 2034-09-16 14:53:51+00:00
发行人: ST=Portugal
序列号: 0x4ab8e4ff
哈希算法: sha1
证书MD5: 99bd1872bc56b4b2619e731ae9cbdc6f
证书SHA1: d590a7d792fd0331542d99faf9997641790773a9
证书SHA256: 73534d45c1345a4783c7eff2cf6038551ab5fdf09673f32c68c3b0864baa80e4
证书SHA512: 8a5562a7825800df284d47dab79fcae1ccde0c3c46b1a181696809ed270576b92718130131ffef402f4d2822e235879de1e91224d91f0f4c0a0b58d2d2bc5b43
找到 1 个唯一证书应用程序权限
证书安全分析
| 标题 | 严重程度 | 描述信息 |
|---|---|---|
| 已签名应用 | 信息 | 应用程序已使用代码签名证书进行签名 |
| 应用程序存在Janus漏洞 | 高危 | 应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。 |
MANIFEST分析
| 序号 | 问题 | 严重程度 | 描述信息 | 操作 |
|---|---|---|---|---|
| 1 |
应用程序可以安装在有漏洞的已更新 Android 版本上 Android 4.1-4.1.2, [minSdk=16] |
警告 | 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。 | |
| 2 |
应用程序具有网络安全配置 [android:networkSecurityConfig=@xml/network_security_config] |
信息 | 网络安全配置功能让应用程序可以在一个安全的,声明式的配置文件中自定义他们的网络安全设置,而不需要修改应用程序代码。这些设置可以针对特定的域名和特定的应用程序进行配置。 | |
| 3 | Activity (cm.aptoide.pt.view.MainActivity) 的启动模式不是standard模式 | 高危 | Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。 | |
| 4 | Activity (cm.aptoide.pt.view.MainActivity) 容易受到 Android Task Hijacking/StrandHogg 的攻击。 | 高危 | 活动不应将启动模式属性设置为“singleTask”。 然后,其他应用程序可以将恶意活动放置在活动栈顶部,从而导致任务劫持/StrandHogg 1.0 漏洞。 这使应用程序成为网络钓鱼攻击的易受攻击目标。 可以通过将启动模式属性设置为“singleInstance”或设置空 taskAffinity (taskAffinity="") 属性来修复此漏洞。 您还可以将应用的目标 SDK 版本 (25) 更新到 28 或更高版本以在平台级别修复此问题。 | |
| 5 |
Activity设置了TaskAffinity属性 (cm.aptoide.pt.wallet.WalletInstallActivity) |
警告 | 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名 | |
| 6 |
Service (cm.aptoide.pt.account.AccountAuthenticatorService) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Service与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Service是显式导出的。 | |
| 7 |
Content Provider (cm.aptoide.pt.toolbox.ToolboxContentProvider) 未被保护。 [android:exported=true] |
警告 | 发现 Content Provider与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。 | |
| 8 | Activity (com.facebook.CustomTabActivity) is vulnerable to StrandHogg 2.0 | 高危 | 已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (25) 更新到 29 或更高版本以在平台级别修复此问题。 | |
| 9 |
Activity (com.facebook.CustomTabActivity) 未被保护。 [android:exported=true] |
警告 | 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。 | |
| 10 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://app.aptoide.com] |
高危 | App Link 资产验证 URL (http://app.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 11 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://app.aptoide.com] |
高危 | App Link 资产验证 URL (https://app.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 12 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://webservices.aptoide.com] |
高危 | App Link 资产验证 URL (http://webservices.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 13 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://webservices.aptoide.com] |
高危 | App Link 资产验证 URL (https://webservices.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 14 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://br.aptoide.com] |
高危 | App Link 资产验证 URL (http://br.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 15 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://br.aptoide.com] |
高危 | App Link 资产验证 URL (https://br.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 16 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://mx.aptoide.com] |
高危 | App Link 资产验证 URL (http://mx.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 17 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://de.aptoide.com] |
高危 | App Link 资产验证 URL (http://de.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 18 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://sa.aptoide.com] |
高危 | App Link 资产验证 URL (https://sa.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 19 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://in.aptoide.com] |
高危 | App Link 资产验证 URL (http://in.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 20 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://vn.aptoide.com] |
高危 | App Link 资产验证 URL (https://vn.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 21 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://ro.aptoide.com] |
高危 | App Link 资产验证 URL (http://ro.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 22 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://hu.aptoide.com] |
高危 | App Link 资产验证 URL (http://hu.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 23 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://nl.aptoide.com] |
高危 | App Link 资产验证 URL (https://nl.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 24 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://kr.aptoide.com] |
高危 | App Link 资产验证 URL (https://kr.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:None)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 25 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://community.aptoide.com] |
高危 | App Link 资产验证 URL (http://community.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 26 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://community.aptoide.com] |
高危 | App Link 资产验证 URL (https://community.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 27 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=http://become-a-power-gamer.aptoide.com] |
高危 | App Link 资产验证 URL (http://become-a-power-gamer.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 28 |
App 链接 assetlinks.json 文件未找到 [android:name=cm.aptoide.pt.DeepLinkIntentReceiver] [android:host=https://become-a-power-gamer.aptoide.com] |
高危 | App Link 资产验证 URL (https://become-a-power-gamer.aptoide.com/.well-known/assetlinks.json) 未找到或配置不正确。(状态代码:404)。应用程序链接允许用户从 Web URL/电子邮件重定向到移动应用程序。如果此文件丢失或为 App Link 主机/域配置不正确,则恶意应用程序可以劫持此类 URL。这可能会导致网络钓鱼攻击,泄露 URI 中的敏感数据,例如 PII、OAuth 令牌、魔术链接/密码重置令牌等。您必须通过托管 assetlinks.json 文件并通过 Activity intent-filter 中的 [android:autoVerify=“true”] 启用验证来验证 App Link 网域。 | |
| 29 |
Activity设置了TaskAffinity属性 (cm.aptoide.pt.DeepLinkIntentReceiver) |
警告 | 如果设置了 taskAffinity,其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息,请始终使用默认设置,将 affinity 保持为包名 | |
| 30 | Activity (cm.aptoide.pt.DeepLinkIntentReceiver) is vulnerable to StrandHogg 2.0 | 高危 | 已发现活动存在 StrandHogg 2.0 栈劫持漏洞的风险。漏洞利用时,其他应用程序可以将恶意活动放置在易受攻击的应用程序的活动栈顶部,从而使应用程序成为网络钓鱼攻击的易受攻击目标。可以通过将启动模式属性设置为“singleInstance”并设置空 taskAffinity (taskAffinity="") 来修复此漏洞。您还可以将应用的目标 SDK 版本 (25) 更新到 29 或更高版本以在平台级别修复此问题。 | |
| 31 |
Activity (cm.aptoide.pt.DeepLinkIntentReceiver) 未被保护。 [android:exported=true] |
警告 | 发现 Activity与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。 | |
| 32 |
Broadcast Receiver (cm.aptoide.pt.install.InstalledBroadcastReceiver) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。 | |
| 33 |
Broadcast Receiver (cm.aptoide.pt.notification.NotificationReceiver) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。 | |
| 34 |
Broadcast Receiver (cm.aptoide.pt.install.CheckRootOnBoot) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。 | |
| 35 |
Broadcast Receiver (cm.aptoide.pt.widget.SearchWidgetProvider) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Broadcast Receiver与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Broadcast Receiver是显式导出的。 | |
| 36 |
Service (com.google.android.gms.auth.api.signin.RevocationBoundService) 受权限保护, 但是应该检查权限的保护级别。 Permission: com.google.android.gms.auth.api.signin.permission.REVOCATION_NOTIFICATION [android:exported=true] |
警告 | 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。 | |
| 37 |
Service (androidx.work.impl.background.systemjob.SystemJobService) 受权限保护, 但是应该检查权限的保护级别。 Permission: android.permission.BIND_JOB_SERVICE [android:exported=true] |
警告 | 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。 | |
| 38 |
高优先级的Intent (999) [android:priority] |
警告 | 通过设置一个比另一个Intent更高的优先级,应用程序有效地覆盖了其他请求。 |
可浏览的Activity组件
| ACTIVITY | INTENT |
|---|---|
| com.facebook.CustomTabActivity |
Schemes:
@string/fb_login_protocol_scheme://,
fbconnect://,
Hosts: cct.cm.aptoide.pt, |
| cm.aptoide.pt.DeepLinkIntentReceiver |
Schemes:
file://,
http://,
aptoide://,
aptoiderepo://,
aptoideinstall://,
aptoideauth://,
aptoidesearch://,
aptoidefeature://,
market://,
https://,
Hosts: app.aptoide.com, market.android.com, webservices.aptoide.com, play.google.com, *.en.aptoide.com, *.pt.aptoide.com, *.br.aptoide.com, *.fr.aptoide.com, *.es.aptoide.com, *.mx.aptoide.com, *.de.aptoide.com, *.it.aptoide.com, *.ru.aptoide.com, *.sa.aptoide.com, *.id.aptoide.com, *.in.aptoide.com, *.bd.aptoide.com, *.mr.aptoide.com, *.pa.aptoide.com, *.my.aptoide.com, *.th.aptoide.com, *.vn.aptoide.com, *.tr.aptoide.com, *.cn.aptoide.com, *.ro.aptoide.com, *.mm.aptoide.com, *.pl.aptoide.com, *.rs.aptoide.com, *.hu.aptoide.com, *.gr.aptoide.com, *.bg.aptoide.com, *.nl.aptoide.com, *.ir.aptoide.com, *.jp.aptoide.com, *.kr.aptoide.com, *.ua.aptoide.com, en.aptoide.com, pt.aptoide.com, br.aptoide.com, fr.aptoide.com, es.aptoide.com, mx.aptoide.com, de.aptoide.com, it.aptoide.com, ru.aptoide.com, sa.aptoide.com, id.aptoide.com, in.aptoide.com, bd.aptoide.com, mr.aptoide.com, pa.aptoide.com, my.aptoide.com, th.aptoide.com, vn.aptoide.com, tr.aptoide.com, cn.aptoide.com, ro.aptoide.com, mm.aptoide.com, pl.aptoide.com, rs.aptoide.com, hu.aptoide.com, gr.aptoide.com, bg.aptoide.com, nl.aptoide.com, ir.aptoide.com, jp.aptoide.com, kr.aptoide.com, ua.aptoide.com, community.aptoide.com, become-a-power-gamer.aptoide.com, Mime Types: application/vnd.cm.aptoide.pt, Path Prefixes: /apkinstall, Path Patterns: /store/..*, /thank-you*, /appcoins, /using-appcoins*, /download*, /editorial/..*, /app, |
网络通信安全
| 序号 | 范围 | 严重级别 | 描述 |
|---|---|---|---|
| 1 | * | 信息 | 基本配置配置为信任bundled certs @raw/vanilla_cert. |
| 2 | * | 警告 | 基本配置配置为信任系统证书。 |
API调用分析
安全漏洞检测
| 序号 | 问题 | 等级 | 参考标准 | 文件位置 | 操作 |
|---|---|---|---|---|---|
| 1 | 应用程序记录日志信息,不得记录敏感信息 | 信息 |
CWE: CWE-532: 通过日志文件的信息暴露
OWASP MASVS: MSTG-STORAGE-3 |
升级会员:解锁高级权限 | |
| 2 | 应用程序使用不安全的随机数生成器 | 警告 |
CWE: CWE-330: 使用不充分的随机数
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-6 |
升级会员:解锁高级权限 | |
| 3 | 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 | 警告 |
CWE: CWE-312: 明文存储敏感信息
OWASP Top 10: M9: Reverse Engineering OWASP MASVS: MSTG-STORAGE-14 |
升级会员:解锁高级权限 | |
| 4 | 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 | 安全 |
OWASP MASVS: MSTG-NETWORK-4 |
升级会员:解锁高级权限 | |
| 5 | 应用程序创建临时文件。敏感信息永远不应该被写进临时文件 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
| 6 | 此应用程序使用Safety Net API。 | 安全 |
OWASP MASVS: MSTG-RESILIENCE-7 |
升级会员:解锁高级权限 | |
| 7 | 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 | 警告 |
CWE: CWE-276: 默认权限不正确
OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2 |
升级会员:解锁高级权限 | |
| 8 | 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 | 警告 |
CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
OWASP Top 10: M7: Client Code Quality |
升级会员:解锁高级权限 | |
| 9 | 此应用程序可能具有Root检测功能 | 安全 |
OWASP MASVS: MSTG-RESILIENCE-1 |
升级会员:解锁高级权限 | |
| 10 | SHA-1是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用已被攻破或存在风险的密码学算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 | |
| 11 | IP地址泄露 | 警告 |
CWE: CWE-200: 信息泄露
OWASP MASVS: MSTG-CODE-2 |
升级会员:解锁高级权限 | |
| 12 | MD5是已知存在哈希冲突的弱哈希 | 警告 |
CWE: CWE-327: 使用已被攻破或存在风险的密码学算法
OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4 |
升级会员:解锁高级权限 |
Native库安全分析
| 序号 | 动态库 | NX(堆栈禁止执行) | PIE | STACK CANARY(栈保护) | RELRO | RPATH(指定SO搜索路径) | RUNPATH(指定SO搜索路径) | FORTIFY(常用函数加强检查) | SYMBOLS STRIPPED(裁剪符号表) |
|---|
文件分析
| 序号 | 问题 | 文件 |
|---|---|---|
| 1 | 应用程序中硬编码的证书/密钥文件 |
res/raw/vanilla_cert.pem |
敏感权限分析
恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。
IP地理位置
恶意域名检测
| 域名 | 状态 | 中国境内 | 位置信息 | 解析 |
|---|---|---|---|---|
| diagnostics.rakam.io |
安全 |
否 |
IP地址: 104.21.35.78 国家: United States of America 地区: California 城市: San Francisco 查看: Google 地图 |
|
| ws75.aptoide.com |
安全 |
否 |
IP地址: 34.255.90.131 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| pool.img.aptoide.com |
安全 |
否 |
IP地址: 104.22.11.83 国家: United States of America 地区: California 城市: San Francisco 查看: Google 地图 |
|
| apichain-dev.blockchainds.com |
安全 |
否 | 没有可用的地理位置信息。 |
|
| api.blockchainds.com |
安全 |
否 |
IP地址: 52.213.26.15 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| api.aptoide.com |
安全 |
否 |
IP地址: 52.50.179.203 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| blog.aptoide.com |
安全 |
否 |
IP地址: 37.48.77.171 国家: Netherlands 地区: Noord-Holland 城市: Amsterdam 查看: Google 地图 |
|
| api.indicative.com |
安全 |
否 |
IP地址: 34.98.104.50 国家: United States of America 地区: Missouri 城市: Kansas City 查看: Google 地图 |
|
| data.flurry.com |
安全 |
否 |
IP地址: 98.136.147.16 国家: United States of America 地区: New York 城市: New York City 查看: Google 地图 |
|
| catappult.io |
安全 |
否 |
IP地址: 99.84.203.53 国家: United States of America 地区: California 城市: Los Angeles 查看: Google 地图 |
|
| twitter.com |
安全 |
否 |
IP地址: 104.244.42.65 国家: United States of America 地区: California 城市: San Francisco 查看: Google 地图 |
|
| impression.appsflyer.com |
安全 |
否 |
IP地址: 13.225.142.107 国家: United States of America 地区: California 城市: Los Angeles 查看: Google 地图 |
|
| ws75-primary.aptoide.com |
安全 |
否 |
IP地址: 37.48.77.161 国家: Netherlands 地区: Noord-Holland 城市: Amsterdam 查看: Google 地图 |
|
| webservices.aptoide.com |
安全 |
否 |
IP地址: 37.48.77.165 国家: Netherlands 地区: Noord-Holland 城市: Amsterdam 查看: Google 地图 |
|
| cdn6.aptoide.com |
安全 |
否 |
IP地址: 104.22.10.83 国家: United States of America 地区: California 城市: San Francisco 查看: Google 地图 |
|
| www.aptoide.com |
安全 |
否 |
IP地址: 34.242.10.185 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| aptoi.de |
安全 |
否 |
IP地址: 52.23.47.7 国家: United States of America 地区: Virginia 城市: Ashburn 查看: Google 地图 |
|
| apichain.blockchainds.com |
安全 |
否 |
IP地址: 52.211.89.149 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| placeimg.com |
安全 |
否 |
IP地址: 159.65.240.55 国家: United States of America 地区: New Jersey 城市: Clifton 查看: Google 地图 |
|
| sentry.aptoide.com |
安全 |
否 |
IP地址: 54.155.39.109 国家: Ireland 地区: Dublin 城市: Dublin 查看: Google 地图 |
|
| m.aptoide.com |
安全 |
否 |
IP地址: 37.48.77.180 国家: Netherlands 地区: Noord-Holland 城市: Amsterdam 查看: Google 地图 |
|
| imgs.aptoide.com |
安全 |
否 |
IP地址: 37.48.77.161 国家: Netherlands 地区: Noord-Holland 城市: Amsterdam 查看: Google 地图 |
|
| facebook.com |
安全 |
否 |
IP地址: 157.240.11.35 国家: United States of America 地区: California 城市: Los Angeles 查看: Google 地图 |
|
| docs.sentry.io |
安全 |
否 |
IP地址: 76.223.121.104 国家: United States of America 地区: Washington 城市: Seattle 查看: Google 地图 |
|
手机号提取
| 手机号 | 源码文件 |
|---|---|
|
13074170746
|
cm/aptoide/pt/BuildConfig.java |
|
13074170746
|
自研引擎分析结果 |
URL链接分析
| URL信息 | 源码文件 |
|---|---|
|
https://cdn6.aptoide.com/includes/themes/2014/images/vanilla_appcoins_info_video_placeholder.svg') https://www.youtube.com/embed/ |
cm/aptoide/aptoideviews/video/YoutubeWebViewPlayer.java |
|
https://3ad378b027fe45aa8bfbc5bacf56344e:1b2ec33c1a5a485bb7b111d41f17e0f8@sentry.aptoide.com/32 9.20.6.1 |
cm/aptoide/pt/BuildConfig.java |
|
https://catappult.io/?utm_source=vanilla |
cm/aptoide/pt/CatappultNavigator.java |
|
https://ws75.aptoide.com/api/7/listapps/store_name= |
cm/aptoide/pt/DeepLinkIntentReceiver.java |
|
https://api.blockchainds.com/ https://impression.appsflyer.com http://imgs.aptoide.com/ https://api.aptoide.com/ |
cm/aptoide/pt/ApplicationModule.java |
|
https://webservices.aptoide.com/webservices/3/ |
cm/aptoide/pt/dataprovider/ws/v3/PushNotificationsRequest.java |
|
https://webservices.aptoide.com/webservices/3/ |
cm/aptoide/pt/dataprovider/ws/v3/V3.java |
|
https://ws75.aptoide.com/api/7/ |
cm/aptoide/pt/dataprovider/ws/v7/GetUserInfoRequest.java |
|
https://ws75-primary.aptoide.com/api/7/ |
cm/aptoide/pt/dataprovider/ws/v7/SetUserMultipartRequest.java |
|
https://ws75-primary.aptoide.com/api/7/ |
cm/aptoide/pt/dataprovider/ws/v7/SetUserSettings.java |
|
https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=apps/widget=apps_list%3a0%261%3apdownloads7d https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=games/widget=apps_list%3a0%262%3adownloads7d |
cm/aptoide/pt/home/HomeContainerNavigator.java |
|
https://placeimg.com/640/480/any http://pool.img.aptoide.com/asf-store/ace60f6352f6dd9289843b5b0b2ab3d4_icon.png |
cm/aptoide/pt/home/bundles/FakeBundleDataSource.java |
|
http://m.aptoide.com/account/password-recovery |
cm/aptoide/pt/view/ActivityModule.java |
|
https://blog.aptoide.com/what-is-aptoidetv/ |
cm/aptoide/pt/view/settings/MyAccountFragment.java |
|
https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=stores |
cm/aptoide/pt/bottomNavigation/BottomNavigationNavigator.java |
|
https://blog.aptoide.com/aptoide-new-authentication-system-no-user-data-storage/ |
cm/aptoide/pt/account/view/magiclink/SendMagicLinkNavigator.java |
|
http://www.example.com http://m.aptoide.com |
cm/aptoide/pt/link/CustomTabNativeReceiver.java |
|
http://m.aptoide.com |
cm/aptoide/pt/link/CustomTabsHelper.java |
|
https://facebook.com/aptoide/ https://twitter.com/aptoide https://www.instagram.com/aptoideappstore/ |
cm/aptoide/pt/socialmedia/SocialMediaNavigator.java |
|
https://github.com/airbnb/epoxy/wiki/avoiding-memory-leaks |
com/airbnb/epoxy/n.java |
|
https://apichain.blockchainds.com https://apichain-dev.blockchainds.com |
com/asf/appcoins/sdk/contractproxy/BuildConfig.java |
|
https://data.flurry.com/aap.do |
com/flurry/sdk/t0.java |
|
https://data.flurry.com/v1/flr.do |
com/flurry/sdk/u0.java |
|
https://github.com/lingochamp/filedownloader/wiki/filedownloader.properties |
com/liulishuo/filedownloader/services/a.java |
|
https://diagnostics.rakam.io/event/batch |
io/rakam/api/e.java |
|
https://docs.sentry.io/learn/quotas/ |
io/sentry/connection/g.java |
|
https://docs.sentry.io/clients/java/ |
io/sentry/dsn/a.java |
|
https://api.indicative.com/service/event |
n/f/a/a/a.java |
|
https://github.com/reactivex/rxjava/wiki/plugins |
q/a/b.java |
|
https://github.com/reactivex/rxjava/wiki/plugins |
q/a/h.java |
|
https://github.com/reactivex/rxjava/wiki/plugins |
q/a/j.java |
|
https://github.com/reactivex/rxjava/wiki/plugins |
q/a/n.java |
|
https://github.com/reactivex/rxjava/wiki/plugins |
q/a/w.java |
|
https://docs.sentry.io/clients/java/config/#in-application-stack-frames |
q/b/a.java |
|
https://docs.sentry.io/clients/java/modules/android/ |
q/b/g/b.java |
|
https://docs.sentry.io/clients/java/config/ |
q/b/l/c.java |
|
224.0.0.251 |
r/a/g/l.java |
|
http://www.slf4j.org/codes.html#staticloggerbinder http://www.slf4j.org/codes.html#unsuccessfulinit http://www.slf4j.org/codes.html#version_mismatch http://www.slf4j.org/codes.html#substitutelogger http://www.slf4j.org/codes.html#multiple_bindings http://www.slf4j.org/codes.html#replay http://www.slf4j.org/codes.html#loggernamemismatch |
t/b/c.java |
|
http://www.slf4j.org/codes.html#no_static_mdc_binder http://www.slf4j.org/codes.html#null_mdca |
t/b/d.java |
|
http://aptoi.de/tv https://docs.sentry.io/clients/java/config/#in-application-stack-frames 9.20.6.1 http://pool.img.aptoide.com/asf-store/ace60f6352f6dd9289843b5b0b2ab3d4_icon.png http://m.aptoide.com/account/password-recovery https://www.aptoide.com/company/legal/account/delete?email=%s https://ws75.aptoide.com/api/7/ https://facebook.com/aptoide/ http://www.aptoide.com https://www.youtube.com/embed/ http://blog.aptoide.com/remote-tv-install https://api.blockchainds.com/ https://ws75.aptoide.com/api/7/listapps/store_name= https://placeimg.com/640/480/any https://ws75-primary.aptoide.com/api/7/ https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=apps/widget=apps_list%3a0%261%3apdownloads7d http://www.aptoide.com/page/about https://github.com/aptoide https://webservices.aptoide.com/webservices/3/ http://m.aptoide.com https://impression.appsflyer.com http://www.aptoide.com/ https://www.instagram.com/aptoideappstore/ http://imgs.aptoide.com/ https://3ad378b027fe45aa8bfbc5bacf56344e:1b2ec33c1a5a485bb7b111d41f17e0f8@sentry.aptoide.com/32 https://api.aptoide.com/ https://www.aptoide.com/legal/privacy?header=0&menu=0 https://blog.aptoide.com/aptoide-new-authentication-system-no-user-data-storage/ https://cdn6.aptoide.com/includes/themes/2014/images/vanilla_appcoins_info_video_placeholder.svg') https://www.aptoide.com/legal/terms?header=0&menu=0 http://www.example.com https://twitter.com/aptoide https://docs.sentry.io/clients/java/modules/android/ https://catappult.io/?utm_source=vanilla https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=games/widget=apps_list%3a0%262%3adownloads7d https://ws75.aptoide.com/api/7/getstorewidgets/store_id=15/context=stores |
自研引擎分析结果 |
Firebase配置检测
邮箱地址提取
| 源码文件 | |
|---|---|
|
b2ec33c1a5a485bb7b111d41f17e0f8@sentry.aptoide |
cm/aptoide/pt/BuildConfig.java |
|
support@aptoide.com |
cm/aptoide/pt/AptoideApplication.java |
|
filipo@emailo.como |
com/aptoide/authentication/mock/MockAuthenticationService.java |
|
suport@aptoide.com aptoide@aptoide.com support@aptoide.com b2ec33c1a5a485bb7b111d41f17e0f8@sentry.aptoide |
自研引擎分析结果 |
第三方追踪器
| 名称 | 类别 | 网址 |
|---|---|---|
| Facebook Login | Identification | https://reports.exodus-privacy.eu.org/trackers/67 |
| Facebook Share | https://reports.exodus-privacy.eu.org/trackers/70 | |
| Flurry | Advertisement, Analytics | https://reports.exodus-privacy.eu.org/trackers/25 |
| Google AdMob | Advertisement | https://reports.exodus-privacy.eu.org/trackers/312 |
| Google Firebase Analytics | Analytics | https://reports.exodus-privacy.eu.org/trackers/49 |
| Sentry | Crash reporting | https://reports.exodus-privacy.eu.org/trackers/447 |
敏感凭证泄露
活动列表
显示 11 个 activities
服务列表
显示 10 个 services
广播接收者列表
显示 14 个 receivers
内容提供者列表
显示 6 个 providers
第三方SDK
| SDK名称 | 开发者 | 描述信息 |
|---|---|---|
| Google Sign-In | 提供使用 Google 登录的 API。 | |
| Google Play Service | 借助 Google Play 服务,您的应用可以利用由 Google 提供的最新功能,例如地图,Google+ 等,并通过 Google Play 商店以 APK 的形式分发自动平台更新。 这样一来,您的用户可以更快地接收更新,并且可以更轻松地集成 Google 必须提供的最新信息。 | |
| Jetpack Lifecycle | 生命周期感知型组件可执行操作来响应另一个组件(如 Activity 和 Fragment)的生命周期状态的变化。这些组件有助于您写出更有条理且往往更精简的代码,这样的代码更易于维护。 | |
| File Provider | Android | FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。 |
| Jetpack WorkManager | 使用 WorkManager API 可以轻松地调度即使在应用退出或设备重启时仍应运行的可延迟异步任务。 | |
| Jetpack Room | Room 持久性库在 SQLite 的基础上提供了一个抽象层,让用户能够在充分利用 SQLite 的强大功能的同时,获享更强健的数据库访问机制。 | |
| FileDownloader | LingoChamp | Android 文件下载引擎,稳定、高效、灵活、简单易用。 |
文件列表
污点分析
当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……| 规则名称 | 描述信息 | 操作 |
|---|---|---|
| 病毒分析 | 使用安卓恶意软件常用的API进行污点分析 | 开始分析 |
| 漏洞挖掘 | 漏洞挖掘场景下的污点分析 | 开始分析 |
| 隐私合规 | 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 | 开始分析 |
| 密码分析 | 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 | 开始分析 |
| Callback | 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 | 开始分析 |