温馨提示:本平台仅供研究软件风险、安全评估,禁止用于非法用途。由于展示的数据过于全面,请耐心等待加载完成。如有疑问或建议, 可加入我们的微信群讨论

APP评分

病毒检测 1 个厂商报毒

安全评分

文件信息

文件名称 FPlay_1.95_apk-dl.com.apk
文件大小 0.51MB
MD5 ab4a33694249eae798cdf62c8b48bff4
SHA1 c0591cdcd0e2dd8d443496b3e847007443c98f27
SHA256 1fdd5fc03a7a8e46e3b9f639952a1cfce3a098251cb87e7c7ab28891297bff08

应用信息

应用名称 FPlay
包名 br.com.carlosrafaelgn.fplay
主活动 br.com.carlosrafaelgn.fplay.activity.ActivityHost
目标SDK 33     最小SDK 10
版本号 1.95     子版本号 3000129
加固信息 未加壳

GooglePlay应用信息

标题 FPlay
评分 4.63
安装 10,000+   次下载
价格 0
Android版本支持
分类 音乐与音频
Play 商店链接 br.com.carlosrafaelgn.fplay
开发者 Carlos Rafael Gimenes das Neves
开发者 ID 7206139877172966194
开发者 地址 None
开发者 主页 https://carlosrafaelgn.com.br
开发者 Email carlosrafael.prog@gmail.com
发布日期 2013年10月11日
隐私政策 Privacy link

关于此应用
用于Android的FPlay是一款简单轻便的音乐播放器,具有干净的界面,均衡器,低音提升和可定制的颜色。 什么是最好的:它是完全开源的 - 源代码可在https://github.com/carlosrafaelgn/FPlayAndroid

该项目的主要目标是为用户提供基于列表和文件夹的功能齐全的音乐播放器。 播放器本身不会消耗太多的记忆,并且尊重WCAG 2.0可及性的颜色和对比度准则,对于色盲人群,对诵读困难的人以及对于轻度视力障碍的人来说都是友好的。

播放可以通过蓝牙SPP - 串口配置文件集成到Arduino或其他电子板 :D

Arduino图书馆可在GitHub上获得:https://github.com/carlosrafaelgn/FPlayArduino

播放器还具有以下其他功能:
- 多窗口+ Chromebook
- 在线广播目录:SHOUTcast + Icecast
- 颜色和主题定制
- 本地支持阅读障碍型字体(改善阅读能力)
- 通过A2DP / AVRCP蓝牙发送音轨信息(在Android 4.0以上测试)
- 能够从互联网播放流
- 从通话和暂停返回时,音量淡入淡出
- 实时频谱分析仪
- 通过键盘完全控制
- 可通过蓝牙音频设备进行控制(在Android 4.0以上测试)
- Android 4.1以上连续轨道更改之间的低延迟
- 从通知区域完全控制
- 与系统控制集成的音量控制
- 可调整大小的部件
- 可编程关闭定时器
- 随机播放模式
- 顶嘴
- 音频虚拟化
- 外部USB

玩家仍然处于“beta阶段”,所以可能还有一些未知的bug。 请让我知道,如果碰巧遇到其中一个 ;)

用作阅读障碍型字体的字体是由Abelardo Gonzalez提供的OpenDyslexic Regular,可从http://dyslexicfonts.com获取

提供八种语言! :D
- Deutsch
- English
- Español
- Français
- Português (Brasil)
- Русский
- Українська
- 中文 (简体)

组件导出信息

反编译代码

Manifest文件 查看
APK文件 下载 APK
Java源代码 查看 -- 下载

证书信息

二进制文件已签名
v1 签名: True
v2 签名: True
v3 签名: True
v4 签名: False
主题: C=BR, ST=SP, L=Sao Paulo, O=Carlos Neves, OU=CN, CN=Carlos Neves
签名算法: rsassa_pkcs1v15
有效期自: 2013-05-28 03:02:10+00:00
有效期至: 2038-05-22 03:02:10+00:00
发行人: C=BR, ST=SP, L=Sao Paulo, O=Carlos Neves, OU=CN, CN=Carlos Neves
序列号: 0x2e08efc7
哈希算法: sha256
证书MD5: cde85fc6331a408c4a0c4962c25603ae
证书SHA1: 613a46c1cf68a8c10070f854eb5b49d5cad00510
证书SHA256: 86a51440f286748633ca2bba931bd2547fe29002aebc18b848c28c4ec825cd50
证书SHA512: f8b43687bd22de4ab61d20ad32dbf57c3ec93d2a1a6388ce2435beca52d6f39bf735853cb12c75d07790acb24b75bc4b227c8fd181e619d2835347f05c255109
公钥算法: rsa
密钥长度: 2048
指纹: c5f44828fe8c4a13b35b245fa89620d3358247dd1a69d4a5c8325843618c9e9a
找到 1 个唯一证书

应用程序权限

权限名称 安全等级 权限内容 权限描述 关联代码
android.permission.RECORD_AUDIO 危险 获取录音权限 允许应用程序获取录音权限。
android.permission.INTERNET 危险 完全互联网访问 允许应用程序创建网络套接字。
android.permission.ACCESS_NETWORK_STATE 普通 获取网络状态 允许应用程序查看所有网络的状态。
android.permission.ACCESS_WIFI_STATE 普通 查看Wi-Fi状态 允许应用程序查看有关Wi-Fi状态的信息。
android.permission.WAKE_LOCK 危险 防止手机休眠 允许应用程序防止手机休眠,在手机屏幕关闭后后台进程仍然运行。
android.permission.BLUETOOTH 危险 创建蓝牙连接 允许应用程序查看或创建蓝牙连接。
android.permission.BLUETOOTH_ADMIN 危险 管理蓝牙 允许程序发现和配对新的蓝牙设备。
android.permission.BROADCAST_STICKY 普通 发送置顶广播 允许应用程序发送顽固广播,这些广播在结束后仍会保留。恶意应用程序可能会借此使手机耗用太多内存,从而降低其速度或稳定性。
android.permission.MODIFY_AUDIO_SETTINGS 危险 允许应用修改全局音频设置 允许应用程序修改全局音频设置,如音量。多用于消息语音功能。
android.permission.WRITE_SETTINGS 危险 修改全局系统设置 允许应用程序修改系统设置方面的数据。恶意应用程序可借此破坏您的系统配置。
android.permission.CAMERA 危险 拍照和录制视频 允许应用程序拍摄照片和视频,且允许应用程序收集相机在任何时候拍到的图像。
android.permission.READ_EXTERNAL_STORAGE 危险 读取SD卡内容 允许应用程序从SD卡读取信息。
android.permission.READ_MEDIA_AUDIO 危险 允许从外部存储读取音频文件 允许应用程序从外部存储读取音频文件。
android.permission.FOREGROUND_SERVICE 普通 创建前台Service Android 9.0以上允许常规应用程序使用 Service.startForeground,用于podcast播放(推送悬浮播放,锁屏播放)

证书分析

高危
0
警告
1
信息
1
标题 严重程度 描述信息
已签名应用 信息 应用程序已使用代码签名证书进行签名
应用程序存在Janus漏洞 警告 应用程序使用了v1签名方案进行签名,如果只使用v1签名方案,那么它就容易受到安卓5.0-8.0上的Janus漏洞的攻击。在安卓5.0-7.0上运行的使用了v1签名方案的应用程序,以及同时使用了v2/v3签名方案的应用程序也同样存在漏洞。

MANIFEST分析

高危
1
警告
5
信息
0
屏蔽
0
序号 问题 严重程度 描述信息 操作
1 应用程序可以安装在有漏洞的已更新 Android 版本上
Android 2.3.3-2.3.7, [minSdk=10]
警告 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。
2 应用程序已启用明文网络流量
[android:usesCleartextTraffic=true]
警告 应用程序打算使用明文网络流量,例如明文HTTP,FTP协议,DownloadManager和MediaPlayer。针对API级别27或更低的应用程序,默认值为“true”。针对API级别28或更高的应用程序,默认值为“false”。避免使用明文流量的主要原因是缺乏机密性,真实性和防篡改保护;网络攻击者可以窃听传输的数据,并且可以在不被检测到的情况下修改它。
3 应用程序数据可以被备份
[android:allowBackup=true]
警告 这个标志允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。
4 Activity (br.com.carlosrafaelgn.fplay.activity.ActivityHost) 的启动模式不是standard模式 高危 Activity 不应将启动模式属性设置为 "singleTask/singleInstance",因为这会使其成为根 Activity,并可能导致其他应用程序读取调用 Intent 的内容。因此,当 Intent 包含敏感信息时,需要使用 "standard" 启动模式属性。
5 Broadcast Receiver (br.com.carlosrafaelgn.fplay.WidgetMain) 未被保护。
[android:exported=true]
警告 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。
6 Broadcast Receiver (br.com.carlosrafaelgn.fplay.ExternalReceiver) 未被保护。
[android:exported=true]
警告 发现 Broadcast Receiver与设备上的其他应用程序共享,因此使其对设备上的任何其他应用程序都可访问。

可浏览的ACTIVITIES

ACTIVITY INTENT

网络安全配置

序号 范围 严重级别 描述

API调用分析

API功能 源码文件
一般功能-> 获取系统服务(getSystemService)
一般功能-> 文件操作
网络通信-> TCP套接字 br/com/carlosrafaelgn/fplay/playback/a.java
调用java反射机制
一般功能-> IPC通信
网络通信-> 蓝牙连接 br/com/carlosrafaelgn/fplay/plugin/wirelessvisualizer/Plugin.java
br/com/carlosrafaelgn/fplay/plugin/wirelessvisualizer/a.java
加密解密-> Base64 加密 br/com/carlosrafaelgn/fplay/plugin/a.java
一般功能-> 获取WiFi相关信息 br/com/carlosrafaelgn/fplay/plugin/a.java
一般功能-> 加载so文件 br/com/carlosrafaelgn/fplay/visualizer/SimpleVisualizerJni.java
组件-> 启动 Activity br/com/carlosrafaelgn/fplay/plugin/wirelessvisualizer/Plugin.java
br/com/carlosrafaelgn/fplay/visualizer/OpenGLVisualizerJni.java
DEX-> 动态加载 br/com/carlosrafaelgn/fplay/playback/Player.java
组件-> 启动 Service br/com/carlosrafaelgn/fplay/playback/Player.java
组件-> 发送广播 br/com/carlosrafaelgn/fplay/playback/Player.java
进程操作-> 杀死进程 br/com/carlosrafaelgn/fplay/playback/Player.java
一般功能-> Android通知 br/com/carlosrafaelgn/fplay/playback/Player.java
加密解密-> Base64 解密 br/com/carlosrafaelgn/fplay/playback/Player.java
一般功能-> 设置手机铃声,媒体音量 br/com/carlosrafaelgn/fplay/playback/Player.java
隐私数据-> 屏幕截图,截取自己应用内部界面 br/com/carlosrafaelgn/fplay/playback/Player.java
一般功能-> 获取活动网路信息 br/com/carlosrafaelgn/fplay/playback/Player.java
命令执行-> getRuntime.exec() br/com/carlosrafaelgn/fplay/visualizer/OpenGLVisualizerJni.java
隐私数据-> 拍照摄像 br/com/carlosrafaelgn/fplay/visualizer/OpenGLVisualizerJni.java

源代码分析

序号 问题 等级 参考标准 文件位置 操作

动态库分析

No Shared Objects found.
序号 动态库 NX(堆栈禁止执行) STACK CANARY(栈保护) RELRO RPATH(指定SO搜索路径) RUNPATH(指定SO搜索路径) FORTIFY(常用函数加强检查) SYMBOLS STRIPPED(裁剪符号表)

文件分析

序号 问题 文件

VIRUSTOTAL扫描

  检出率: 1 / 64       完整报告

反病毒引擎 检出结果
MaxSecure Trojan.TrojanBanker.AndroidOS.Agent.dx

滥用权限

恶意软件常用权限 5/30
android.permission.RECORD_AUDIO
android.permission.WAKE_LOCK
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.WRITE_SETTINGS
android.permission.CAMERA
其它常用权限 9/46
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.BLUETOOTH
android.permission.BLUETOOTH_ADMIN
android.permission.BROADCAST_STICKY
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_MEDIA_AUDIO
android.permission.FOREGROUND_SERVICE

恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。

IP地图

域名检测

域名 状态 中国境内 位置信息 解析
icomoon.io 安全
IP地址: 54.193.7.186
国家: 美利坚合众国
地区: 加利福尼亚
城市: 圣何塞
查看: Google 地图





shoutcast.com 安全
IP地址: 20.62.72.11
国家: 美利坚合众国
地区: 弗吉尼亚州
城市: 博伊顿
查看: Google 地图





dyslexicfonts.com 安全
IP地址: 172.67.134.200
国家: 美利坚合众国
地区: 加利福尼亚
城市: 旧金山
查看: Google 地图





creativecommons.org 安全
IP地址: 172.67.1.191
国家: 美利坚合众国
地区: 加利福尼亚
城市: 旧金山
查看: Google 地图





dir.xiph.org 安全
IP地址: 140.211.166.31
国家: 美利坚合众国
地区: 俄勒冈
城市: 尤金
查看: Google 地图





yp.shoutcast.com 安全
IP地址: 31.12.71.119
国家: 美利坚合众国
地区: 纽约
城市: 纽约市
查看: Google 地图





手机号码

网址

网址信息 源码文件
http://www.shoutcast.com/Partners
自研引擎分析结果
https://github.com/carlosrafaelgn/fplayandroid
http://dir.xiph.org/by_genre/
http://dir.xiph.org
http://dir.xiph.org/search?search=
http://shoutcast.com
http://dyslexicfonts.com
https://creativecommons.org/licenses/by/3.0/us/legalcode
http://icomoon.io/app
https://github.com/googlesamples/cardboard-java
https://github.com/rsanchezsaez/cardboard-java
http://yp.shoutcast.com/sbin/tunein-station.m3u?id=
https://github.com/carlosrafaelgn/fplayarduino
自研引擎分析结果

FIREBASE实例

邮箱

EMAIL 源码文件
dev@carlosrafaelgn.com
sviat.hurskyi@gmail.com
sfitzenreiter@gmail.com
redandy16@gmail.com
grorigan@gmail.com
自研引擎分析结果

追踪器

名称 类别 网址

密钥凭证

字符串列表

建议导出为TXT,方便查看。

活动列表

已显示 2 个activities
1、 br.com.carlosrafaelgn.fplay.activity.ActivityHost
2、 br.com.carlosrafaelgn.fplay.activity.ActivityVisualizer

服务列表

已显示 1 个services
1、 br.com.carlosrafaelgn.fplay.playback.Player

广播接收者列表

已显示 2 个receivers
1、 br.com.carlosrafaelgn.fplay.WidgetMain
2、 br.com.carlosrafaelgn.fplay.ExternalReceiver

内容提供者列表

第三方SDK

SDK名称 开发者 描述信息

文件列表

AndroidManifest.xml
META-INF/com/android/build/gradle/app-metadata.properties
assets/binary/genres.dat
assets/binary/genresIcecast.dat
assets/binary/url.dat
assets/fonts/OpenDyslexicRegular.otf
assets/fonts/icons.ttf
classes.dex
res/anim/dissolvein.xml
res/anim/dissolveout.xml
res/anim/fadein.xml
res/anim/fadeout.xml
res/anim/slidein.xml
res/anim/slideout.xml
res/anim/zoomfadein.xml
res/anim/zoomfadeout.xml
res/drawable/bg_notification_button.xml
res/drawable/bg_widget_button.xml
res/drawable-anydpi-v26/$ic_background__0.xml
res/drawable-anydpi-v26/$ic_foreground__0.xml
res/drawable-anydpi-v26/ic_background.xml
res/drawable-anydpi-v26/ic_foreground.xml
res/drawable-anydpi-v26/ic_next.xml
res/drawable-anydpi-v26/ic_pause.xml
res/drawable-anydpi-v26/ic_play.xml
res/drawable-anydpi-v26/ic_prev.xml
res/drawable-xhdpi-v4/ic_banner.png
res/layout/activity_about.xml
res/layout/activity_browser2.xml
res/layout/activity_browser_radio.xml
res/layout/activity_effects.xml
res/layout/activity_effects_ls.xml
res/layout/activity_file_selection.xml
res/layout/activity_main.xml
res/layout/activity_main_control.xml
res/layout/activity_main_control_l.xml
res/layout/activity_main_inverted.xml
res/layout/activity_main_l.xml
res/layout/activity_main_l_controls_ls.xml
res/layout/activity_main_l_left_ls.xml
res/layout/activity_main_l_ls.xml
res/layout/activity_main_ls.xml
res/layout/activity_main_top_controls.xml
res/layout/activity_main_top_title.xml
res/layout/activity_settings.xml
res/layout/activity_visualizer.xml
res/layout/main_widget.xml
res/layout/main_widget_transparent.xml
res/layout/notification.xml
res/layout/notification_simple.xml
res/layout-v11/activity_about.xml
res/layout-v11/activity_browser2.xml
res/layout-v11/activity_browser_radio.xml
res/layout-v11/activity_effects.xml
res/layout-v11/activity_effects_ls.xml
res/layout-v11/activity_file_selection.xml
res/layout-v11/activity_main.xml
res/layout-v11/activity_main_control.xml
res/layout-v11/activity_main_control_l.xml
res/layout-v11/activity_main_inverted.xml
res/layout-v11/activity_main_l.xml
res/layout-v11/activity_main_l_controls_ls.xml
res/layout-v11/activity_main_l_left_ls.xml
res/layout-v11/activity_main_l_ls.xml
res/layout-v11/activity_main_ls.xml
res/layout-v11/activity_main_top_controls.xml
res/layout-v11/activity_main_top_title.xml
res/layout-v11/activity_settings.xml
res/layout-v11/activity_visualizer.xml
res/layout-v11/main_widget.xml
res/layout-v11/main_widget_transparent.xml
res/layout-v11/notification.xml
res/layout-v11/notification_simple.xml
res/layout-v21/notification.xml
res/mipmap-anydpi-v26/ic_launcher.xml
res/mipmap-anydpi-v26/ic_launcher_round.xml
res/mipmap-hdpi-v4/ic_launcher.png
res/mipmap-hdpi-v4/ic_launcher_fg.png
res/mipmap-hdpi-v4/ic_launcher_round.png
res/mipmap-mdpi-v4/ic_launcher.png
res/mipmap-mdpi-v4/ic_launcher_fg.png
res/mipmap-mdpi-v4/ic_launcher_round.png
res/mipmap-xhdpi-v4/ic_launcher.png
res/mipmap-xhdpi-v4/ic_launcher_fg.png
res/mipmap-xhdpi-v4/ic_launcher_round.png
res/mipmap-xxhdpi-v4/ic_launcher.png
res/mipmap-xxhdpi-v4/ic_launcher_fg.png
res/mipmap-xxhdpi-v4/ic_launcher_round.png
res/mipmap-xxxhdpi-v4/ic_launcher.png
res/mipmap-xxxhdpi-v4/ic_launcher_fg.png
res/mipmap-xxxhdpi-v4/ic_launcher_round.png
res/xml/backup_rules.xml
res/xml/main_widget_info.xml
res/xml/splits0.xml
res/xml-v11/main_widget_info.xml
res/xml-v12/main_widget_info.xml
res/xml-v17/main_widget_info.xml
resources.arsc
stamp-cert-sha256
META-INF/BNDLTOOL.SF
META-INF/BNDLTOOL.RSA
META-INF/MANIFEST.MF

污点分析

当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……
规则名称 描述信息 操作
病毒分析 使用安卓恶意软件常用的API进行污点分析 开始分析  
漏洞挖掘 漏洞挖掘场景下的污点分析 开始分析  
隐私合规 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 开始分析  
密码分析 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 开始分析  
Callback 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 开始分析