消防实操模拟软件 1.6.9版本 | 静态分析 _南明离火移动安全分析平台

安全声明：本平台专为移动应用安全风险研究与合规评估设计，严禁用于任何非法用途。如有疑问或建议，欢迎加入微信群交流。

应用图标

应用评分

文件基本信息

文件名称

com.yaota.subjob_1.6.9_liqucn.com.apk

文件大小

48.31MB

MD5

e635330631e48e09998daf2053b76857

SHA1

a76987dbbb85732f1add9fc2da8172074581d9c9

SHA256

e1439375023a423b031f77ee46af456a2257425dbe3c7fd8bf800ff03b635510

病毒检测

无法判定

应用基础信息

应用名称

消防实操模拟软件

包名

com.yaota.subjob

主活动

com.yaota.firecontrol.fire_control_learning.MainActivity

目标SDK

31

最小SDK

21

版本号

1.6.9

子版本号

89

加固信息

Flutter/Dart 加固

组件导出状态统计

查看 Activity 组件

查看 Service 组件

查看 Receiver 组件

查看 Provider 组件

扫描与分析选项

重新扫描管理规则动态分析

反编译与源码导出

Manifest文件查看

APK文件成为会员，解锁下载

Java源代码查看 -- 下载

文件结构与资源列表

应用签名证书信息

二进制文件已签名
v1 签名: True
v2 签名: True
v3 签名: False
v4 签名: False
主题: C=中国, ST=上海, L=上海, O=彩住科技, OU= 彩住, CN= Lei Liu
签名算法: rsassa_pkcs1v15
有效期自: 2021-08-03 08:58:18+00:00
有效期至: 2120-02-26 08:58:18+00:00
发行人: C=中国, ST=上海, L=上海, O=彩住科技, OU= 彩住, CN= Lei Liu
序列号: 0x5e717b7c
哈希算法: sha256
证书MD5: aab844c2325fbe700470d65b1fa7c54c
证书SHA1: 4eb78366ac56585365443265b2b460746b6c9977
证书SHA256: 91647f651b42d037e7f904b09d54477d5afc198324faeb6dddb3339d694521c8
证书SHA512: 709b36d285cfbaa220a704d9940abb033baa63643edee14181122472d4b7e6642d91db3d97044106f179c786726dce93165399f9de7824026d7f9b79a15906bf
公钥算法: rsa
密钥长度: 2048
指纹: 405c4c52b92ba5d327a22fe8a5737da0bd7e8b102ea603f9cd011464d73dce33
找到 1 个唯一证书

权限声明与风险分级

权限名称	安全等级	权限内容	权限描述	关联代码
android.permission.INTERNET	危险	完全互联网访问	允许应用程序创建网络套接字。	显示文件 f9/f0.java h5/j.java ie/b.java ie/h.java ja/e.java ja/g.java lf/UrlSource.java o3/a.java oc/t.java oe/b0.java sd/o.java t0/b.java
android.permission.READ_EXTERNAL_STORAGE	危险	读取SD卡内容	允许应用程序从SD卡读取信息。	显示文件 af/f.java b1/c.java e5/a.java f9/q.java f9/s.java ff/a.java ff/b.java ff/e.java ja/e0.java ja/m1.java ja/q.java ja/s.java k0/e0.java k0/y.java o5/f.java oc/l.java oc/n.java oe/b0.java p1/a.java r8/b.java te/c.java te/e.java v9/d.java x3/b.java z3/b.java
android.permission.WRITE_EXTERNAL_STORAGE	危险	读取/修改/删除外部存储内容	允许应用程序写入外部存储。	显示文件 b1/c.java b1/d.java df/a.java e5/a.java f9/q.java f9/s.java ff/e.java h6/b.java ja/m1.java ja/p.java ja/q.java k0/e0.java lf/UrlSource.java na/e.java o2/a.java o5/t.java ob/h.java oc/l.java oc/n.java oe/b0.java p1/a.java r5/e.java r8/b.java r9/a.java r9/c.java v9/d.java va/g.java
android.permission.READ_PHONE_STATE	危险	读取手机状态和标识	允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号，是否正在通话，以及对方的号码等。	显示文件 w0/b.java z3/b.java z3/d.java
android.permission.ACCESS_NETWORK_STATE	普通	获取网络状态	允许应用程序查看所有网络的状态。	显示文件 i6/f6.java ja/c.java o3/a.java o7/a.java r8/e1.java r8/h0.java t0/a.java u3/b.java w0/b.java x5/e.java z3/b.java z3/d.java z4/s.java
android.permission.ACCESS_WIFI_STATE	普通	查看Wi-Fi状态	允许应用程序查看有关Wi-Fi状态的信息。	显示文件 l3/b.java o7/a.java u3/b.java z3/b.java
android.permission.READ_LOGS	危险	读取系统日志文件	允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况，这些信息还可能包含用户个人信息或保密信息，造成隐私数据泄露。
android.permission.REQUEST_INSTALL_PACKAGES	危险	允许安装应用程序	Android8.0 以上系统允许安装未知来源应用程序权限。
android.permission.VIBRATE	普通	控制振动器	允许应用程序控制振动器，用于消息通知振动功能。	显示文件 a5/c.java
android.permission.ACCESS_MEDIA_LOCATION	危险	获取照片的地址信息	更换头像，聊天图片等图片的地址信息被读取。	显示文件 cf/d.java ff/a.java ff/b.java ff/e.java ff/f.java ff/g.java p5/f.java v9/c.java v9/d.java
com.yaota.subjob.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION	未知	未知权限	来自 android 引用的未知权限。
com.android.vending.BILLING	普通	应用程序具有应用内购买	允许应用程序从 Google Play 进行应用内购买。

证书安全合规分析

高危

0

警告

1

信息

1

标题	严重程度	描述信息
已签名应用	信息	应用程序已使用代码签名证书进行签名

Manifest 配置安全分析

高危

0

警告

5

信息

0

屏蔽

0

序号	问题	严重程度	描述信息	操作
1	应用程序可以安装在有漏洞的已更新 Android 版本上 Android 5.0-5.0.2, [minSdk=21]	信息	该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。	对应用 com.yaota.subjob 屏蔽 vulnerable_os_version 规则
2	应用程序数据存在被泄露的风险未设置[android:allowBackup]标志	警告	这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true，允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。	对应用 com.yaota.subjob 屏蔽 allowbackup_not_set 规则
3	Activity设置了TaskAffinity属性 (com.jarvan.fluwx.wxapi.FluwxWXEntryActivity)	警告	如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名	对应用 com.yaota.subjob 屏蔽 activity_task_affinity_set 规则
4	Activity设置了TaskAffinity属性 (com.yaota.subjob.wxapi.WXEntryActivity)	警告	如果设置了 taskAffinity，其他应用程序可能会读取发送到属于另一个任务的 Activity 的 Intent。为了防止其他应用程序读取发送或接收的 Intent 中的敏感信息，请始终使用默认设置，将 affinity 保持为包名	对应用 com.yaota.subjob 屏蔽 activity_task_affinity_set 规则
5	Activity-Alias (com.yaota.subjob.wxapi.WXEntryActivity) 未被保护。存在一个intent-filter。	警告	发现 Activity-Alias与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。	对应用 com.yaota.subjob 屏蔽 activity_alias_exported_intent_filter_exists 规则
6	Activity-Alias (com.yaota.subjob.wxapi.WXPayEntryActivity) 未被保护。存在一个intent-filter。	警告	发现 Activity-Alias与设备上的其他应用程序共享，因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity-Alias是显式导出的。	对应用 com.yaota.subjob 屏蔽 activity_alias_exported_intent_filter_exists 规则

可浏览 Activity 组件分析

ACTIVITY	INTENT
com.yaota.firecontrol.fire_control_learning.MainActivity	Schemes: yaotafireapp://, Hosts: firepal.cn, Paths: /id,

网络通信安全风险分析

序号	范围	严重级别	描述

API调用分析

API功能	源码文件
调用java反射机制	显示文件 a3/k.java b3/o.java b9/f.java b9/i.java b9/j.java b9/l.java c1/f.java c1/l1.java c1/o.java c1/p.java c1/u0.java c1/w0.java d0/f.java d0/h.java d0/k.java d0/w.java d0/x.java d9/i0.java d9/x.java e3/g.java f9/m.java g0/g.java g1/c.java g1/d.java g1/o.java g1/q.java h0/i.java i/d.java i/f.java i6/e.java i9/v.java ie/b.java ie/c.java ie/d.java ie/e.java ie/g.java ie/h.java j9/a.java j9/e.java j9/i.java j9/n.java j9/p.java ja/q.java ja/r1.java ja/u.java je/f.java je/h.java je/l.java k0/a0.java k0/b0.java k0/d0.java k0/f0.java k0/g0.java k0/h0.java k0/y.java k0/z.java k9/b1.java k9/c.java k9/o1.java ka/b.java l0/c.java l0/l.java lc/l.java lc/m.java mc/a.java n/g.java nc/a.java o/c.java oe/p.java p/i0.java p/m.java p/p.java p/q.java pd/g.java q6/j.java r0/c0.java r0/d.java r0/k.java r8/c.java r8/e1.java sd/f.java sd/o.java sd/p.java sd/p0.java t2/b.java tb/b.java u0/a0.java u0/x.java u0/y.java u1/a.java u3/m.java uc/l0.java uc/l1.java uc/u.java v9/d.java w0/a.java w0/b.java w3/e.java w8/l.java w8/q.java w8/s0.java x2/e.java x3/a.java x8/a.java xe/a.java y3/c.java y5/e.java y8/p.java yd/d.java z3/b.java z3/d.java z8/c6.java
一般功能-> 文件操作	显示文件 a4/b.java a4/c.java a4/e.java ac/b.java ac/d.java ac/h.java ac/i.java ac/j.java ad/d.java ad/f.java ad/i.java ae/a.java ae/b.java ae/d.java ae/e.java af/b.java af/d.java af/f.java b1/c.java b1/d.java b1/k.java b1/k0.java b4/b.java b4/d.java b5/d.java b5/g.java b5/h.java b7/a0.java b7/b.java b7/e.java b7/e0.java b7/f0.java b7/h.java b7/h0.java b7/x.java b7/y.java be/a.java be/b.java c7/b.java c7/d.java c8/l.java cf/b.java d0/i.java d9/a0.java d9/c0.java d9/d0.java d9/e.java d9/e0.java d9/g.java d9/h0.java d9/i.java d9/m.java d9/n.java d9/o.java d9/t.java d9/u.java de/a.java de/b.java de/c.java de/d.java de/e.java de/f.java de/j.java df/a.java e5/a.java e5/b.java e5/c.java e6/a.java e6/c.java e6/d.java e6/i.java ea/a.java ee/a.java ee/b.java ee/d.java ee/e.java ee/g.java ee/j.java ee/k.java ef/AssetEntity.java f0/d.java f0/i.java f0/j0.java f0/k0.java f2/a.java f2/b.java f5/a.java f5/f.java f9/a.java f9/a0.java f9/b.java f9/b0.java f9/c.java f9/d.java f9/d0.java f9/e.java f9/e0.java f9/f.java f9/f0.java f9/g.java f9/h.java f9/i.java f9/j.java f9/k.java f9/l.java f9/m.java f9/n.java f9/o.java f9/q.java f9/s.java f9/t.java f9/v.java f9/w.java f9/x.java f9/y.java f9/z.java fe/b.java ff/a.java ff/b.java ff/c.java ff/e.java g0/g.java g0/h.java g2/a.java g2/b.java g2/c.java g5/d.java g5/j.java g7/b.java g9/j.java g9/n.java gc/c.java gc/i.java ge/c.java ge/e.java ge/f.java ge/g.java ge/h.java ge/i.java ge/j.java ge/k.java h0/c.java h0/d.java h0/f.java h0/g.java h0/i.java h5/a.java h5/b.java h5/c.java h5/e.java h5/g.java h5/h.java h5/i.java h5/j.java h5/k.java h5/l.java h5/m.java h5/n.java h5/o.java h6/b.java h9/b.java hb/p.java hd/o.java he/a.java hf/c.java i5/a.java i5/c.java i5/e.java i6/y2.java i9/a.java i9/b.java i9/c.java i9/d.java i9/g.java i9/i.java i9/j.java i9/k.java i9/l.java i9/n.java i9/s.java i9/y.java ie/b.java ie/h.java j5/c.java j5/e.java j5/g.java j5/i.java j5/v.java j6/b.java j6/b2.java j6/c.java j6/v1.java j6/y1.java j8/c.java j9/b.java j9/n.java j9/p.java ja/b.java ja/c.java ja/c1.java ja/d1.java ja/e.java ja/e0.java ja/e1.java ja/g.java ja/j0.java ja/j1.java ja/k0.java ja/l1.java ja/m1.java ja/n.java ja/p.java ja/p1.java ja/q.java ja/r1.java ja/s.java ja/y.java je/a.java k/a.java k/e.java k0/a0.java k0/c0.java k0/d0.java k0/e0.java k0/y.java k9/n.java k9/o.java k9/p.java k9/s.java ka/b.java ke/a.java l0/c.java l0/h.java l3/b.java l5/a.java l5/b.java l5/d.java l5/e.java l5/f.java l5/g.java l5/h.java lb/c.java lf/UrlSource.java m1/a.java m1/c.java m2/c.java m3/b.java m3/d.java m5/b.java n/g.java n7/d.java n7/m.java n7/w.java n7/y.java na/b.java na/e.java ne/WebSocketExtensions.java ne/a.java ne/c.java ne/e.java ne/h.java ne/i.java o2/a.java o3/a.java o5/a.java o5/b.java o5/c.java o5/d.java o5/e.java o5/f.java o5/k.java o5/s.java o5/t.java o5/u.java o5/w.java o5/x.java o8/a0.java o8/h.java o8/h0.java o8/i.java o8/i0.java o8/k.java o8/l.java o8/m.java o8/o.java o8/p.java oa/b.java oa/c.java oa/e.java oa/f.java oa/g.java oa/i.java oa/k.java oa/m.java ob/d.java ob/e.java ob/f.java ob/h.java oc/FilePathComponents.java oc/a.java oc/b.java oc/c.java oc/e.java oc/f.java oc/h.java oc/k.java oc/l.java oc/m.java oc/n.java oc/o.java oc/p.java oc/s.java oc/t.java oe/DeflaterSink.java oe/a0.java oe/b0.java oe/buffer.java oe/c.java oe/g0.java oe/k.java oe/l0.java oe/m.java oe/m0.java oe/n.java oe/n0.java oe/o.java oe/o0.java oe/p.java oe/p0.java oe/q0.java oe/r.java oe/s.java oe/sink.java oe/source.java oe/t.java oe/u.java oe/v.java oe/w.java oe/x.java oe/y.java p/v.java p/x.java p1/a.java p3/c.java p5/a.java p5/b.java p5/c.java p5/d.java p5/e.java p5/f.java p5/g.java p7/a.java p7/i0.java p7/v.java p8/f.java p8/g.java p8/h.java p8/i.java p8/q.java p8/r.java pc/b.java pc/d.java pc/e.java pd/g.java pd/j.java pe/a.java pe/c.java pe/d.java q5/a.java q6/a.java q6/f0.java q6/g.java q6/g0.java q6/h0.java q6/l.java q6/m.java q6/n.java q6/p.java q6/t.java q6/u.java q6/x.java q6/z.java q8/a.java q8/b.java q9/d.java qe/g.java r1/c.java r1/p.java r5/a.java r5/a0.java r5/b.java r5/e.java r5/e0.java r5/f.java r5/i0.java r5/j.java r5/k.java r5/p.java r5/s.java r5/v.java r5/w.java r5/x.java r5/z.java r6/b.java r7/e.java r7/g.java r7/i.java r7/j.java r7/k.java r7/l.java r7/m.java r7/q.java r7/r.java r8/b.java r8/e1.java r8/q.java r8/q0.java r9/a.java r9/c.java r9/d.java r9/e.java r9/f.java r9/h.java re/b.java re/c.java re/e.java re/f.java re/h.java re/i.java re/m.java s3/a.java s3/b.java s4/a.java s4/c.java s6/b.java s6/e.java s7/g.java s7/i.java sb/b.java sd/o.java se/a.java t0/b.java t0/f.java t3/c.java t6/b.java t6/e.java t7/d.java te/c.java te/e.java u0/d.java u0/h.java u0/r.java u3/d.java u3/e.java u3/j.java u3/m.java u4/c.java u5/a.java u5/b.java u6/b.java u7/a.java ua/d.java ub/b.java uc/a.java uc/c0.java uc/f0.java uc/k1.java uc/n0.java uc/q.java ud/a.java ue/f.java v0/c.java v5/a.java v5/d.java v5/j.java v6/a.java v6/e.java v7/a.java v7/c.java v7/e.java v7/g.java v7/i.java v7/k.java v7/l.java v7/m.java v7/n.java v7/r.java v7/t.java v7/w.java v7/x.java v9/c.java v9/d.java va/a.java va/f.java va/g.java ve/b.java ve/c.java ve/g.java w2/c.java w2/d.java w2/e.java w2/i.java w3/a.java w3/e.java w5/a.java w6/a.java w6/b.java w6/c.java w6/e.java w6/f.java w6/g.java w7/a.java w8/c0.java w8/d.java w8/d0.java w8/i.java w8/j0.java w8/l.java w8/m.java w8/q.java w8/r0.java w8/s0.java w8/u.java w8/v.java w8/x.java w8/y.java w9/b.java we/a.java we/c.java we/d.java we/e.java we/f.java x2/c.java x3/a.java x3/b.java x6/f.java xb/b1.java xb/g2.java xb/i1.java xb/k1.java xb/p.java xb/q0.java xb/x.java xb/z0.java xd/b.java xd/c.java xd/c0.java xd/e.java xd/e0.java xd/f.java xd/f0.java xd/g0.java xd/r.java xd/s.java xd/t.java xd/w.java xd/y.java xd/z.java y1/m.java y1/o.java y6/g.java y6/k.java y6/m.java y6/n.java y6/q.java y7/a.java y7/c.java y8/j.java yd/d.java z0/c.java z3/b.java z3/c.java z3/d.java z4/q.java z6/a.java z6/d.java z6/e.java z6/f.java z6/g.java z6/i.java z6/j.java z8/a.java z8/a5.java z8/b1.java z8/b3.java z8/b5.java z8/c1.java z8/c3.java z8/c6.java z8/d1.java z8/d3.java z8/d7.java z8/e.java z8/e0.java z8/e1.java z8/e3.java z8/e7.java z8/f.java z8/f0.java z8/f1.java z8/f3.java z8/f4.java z8/f6.java z8/f7.java z8/g3.java z8/g4.java z8/h3.java z8/h7.java z8/i3.java z8/j0.java z8/j3.java z8/j4.java z8/k3.java z8/k5.java z8/l3.java z8/l5.java z8/m0.java z8/m3.java z8/m4.java z8/m7.java z8/n0.java z8/n3.java z8/o5.java z8/p3.java z8/p4.java z8/q0.java z8/q3.java z8/q4.java z8/r.java z8/r0.java z8/r2.java z8/r3.java z8/s.java z8/s3.java z8/t2.java z8/t4.java z8/t5.java z8/u.java z8/u2.java z8/u4.java z8/v2.java z8/v3.java z8/w0.java z8/w4.java z8/w6.java z8/x3.java z8/x4.java z8/x6.java z8/y0.java z8/y4.java z8/y5.java z8/z.java z8/z2.java z8/z3.java z8/z5.java z8/z6.java z9/c.java z9/f.java zb/j0.java zb/k0.java zb/l0.java zd/b.java
组件-> ContentProvider	显示文件 ab/b.java ab/c.java d0/h.java f0/a.java sa/b.java
一般功能-> 获取系统服务(getSystemService)	显示文件 a5/e.java b6/f.java b6/l.java b6/r.java c1/f.java c1/n1.java c1/u0.java d0/j.java d0/n.java d0/x.java f0/d.java g0/g.java i/h.java i1/c.java i6/e6.java i6/f6.java j6/y1.java ja/c.java ja/y.java jf/m.java k1/a.java l3/b.java l5/l.java lb/c.java m0/a.java m8/c0.java m8/m.java n/d.java n0/a.java o2/a.java o3/a.java o7/a.java p/f0.java p/g0.java p/i.java p/k.java r8/e1.java r8/h0.java r8/j0.java s8/h.java s8/l.java tb/d.java tb/g.java u0/b0.java u3/b.java u3/m.java v9/d.java va/f.java w9/b.java wb/e.java x5/e.java z3/b.java z3/d.java z4/p.java z4/s.java
加密解密-> Crypto加解密组件	显示文件 d9/b0.java d9/s.java m3/c.java m3/d.java m3/e.java n0/a.java oe/l0.java oe/m.java oe/p.java oe/w.java oe/x.java p8/i.java q8/c.java te/e.java v7/a.java y3/c.java
加密解密-> 信息摘要算法	显示文件 d6/a.java d6/c.java d6/d.java d6/e.java d9/c0.java g0/b.java g5/e.java g5/f.java g5/g.java g5/h.java j5/d.java j5/n.java j5/w.java ja/q.java l5/m.java n5/a.java o5/g.java oe/l0.java oe/m.java oe/p.java oe/w.java oe/x.java q5/c.java r5/c0.java r5/d.java r5/d0.java r5/i0.java r5/l.java r5/m.java r5/n.java r5/r.java r5/t.java r5/u.java se/a.java te/c.java te/f.java te/l.java u3/m.java v5/f.java x3/a.java y3/b.java
一般功能-> IPC通信	显示文件 a/a.java af/b.java cf/c.java com/alipay/android/app/IAlixPay.java com/alipay/android/app/IRemoteServiceCallback.java com/amazon/device/iap/ResponseReceiver.java com/jarvan/fluwx/wxapi/FluwxWXEntryActivity.java d0/b.java d0/d0.java d0/e.java d0/f.java d0/f0.java d0/g.java d0/h.java d0/h0.java d0/i.java d0/k.java d0/p.java d0/t.java d0/u.java d0/w.java d0/x.java d0/z.java e/a.java e/b.java e0/a.java e0/b.java f0/d.java f0/f.java f0/h0.java f0/i.java f0/m0.java g0/e.java g0/g.java g0/h.java g1/q.java gf/b.java h4/c.java h4/d.java h6/b.java hb/o.java i2/a.java i3/b.java i3/f.java i4/c.java i6/b.java j3/b.java j4/a.java j4/b.java k2/a.java k6/e.java k6/f.java l2/a.java l4/a.java m2/b.java ma/c.java n2/g.java n2/h.java n8/d.java o/a.java o/c.java o/e.java o7/a.java o9/b.java ob/f.java p9/b.java q9/b.java qa/a.java qa/c.java r8/c.java r8/e1.java r8/h0.java rb/d.java s3/a.java s9/c.java sa/b.java sa/e.java t0/a.java tb/j.java u0/b.java u0/d.java u3/g.java u3/m.java u8/b.java u8/c.java u8/d.java u8/e.java u8/f.java v9/c.java w3/d.java w3/e.java w9/b.java x2/e.java x4/u.java x4/v.java x5/e.java y4/b.java ya/b.java z3/b.java z4/a.java z4/p.java z4/s.java
网络通信-> TCP套接字	显示文件 de/c.java de/d.java de/e.java de/f.java de/h.java de/j.java ee/j.java ge/e.java ge/h.java ie/b.java ie/h.java j6/y1.java ke/a.java ne/e.java oe/a0.java oe/b0.java oe/c.java oe/n0.java sb/b.java t0/b.java t0/d.java xd/a.java xd/b0.java xd/j.java yd/d.java zd/b.java
加密解密-> Base64 解密	显示文件 h0/f.java j8/d.java ja/c0.java o5/e.java o8/l.java q6/j0.java t7/d.java
网络通信-> SSL证书处理	显示文件 de/e.java de/f.java ie/a.java ie/b.java ie/c.java ie/d.java ie/f.java ie/g.java ie/h.java je/a.java je/f.java je/g.java je/i.java je/j.java je/k.java je/l.java sb/b.java xd/a.java xd/b0.java
设备指纹-> 查看本机IMSI	z3/b.java
设备指纹-> 查看本机SIM卡序列号	z3/b.java
一般功能-> 获取WiFi相关信息	l3/b.java u3/b.java z3/b.java
一般功能-> 获取网络接口信息	z3/b.java
一般功能-> 查看\修改Android系统属性	r8/e1.java z3/b.java
一般功能-> 获取活动网路信息	显示文件 ja/c.java o3/a.java r8/h0.java t0/a.java u3/b.java x5/e.java z3/b.java
一般功能-> 传感器相关操作	f0/d.java z3/b.java
加密解密-> Base64 加密	显示文件 i3/b.java j6/x1.java r8/e1.java u3/g.java v0/f.java x3/a.java
组件-> 启动 Activity	显示文件 af/b.java com/alipay/android/app/IRemoteServiceCallback.java com/jarvan/fluwx/wxapi/FluwxWXEntryActivity.java d0/b.java d0/f0.java d0/h0.java d0/p.java f0/d.java gf/b.java i3/b.java i3/f.java j4/a.java l4/a.java ma/c.java o/a.java o9/b.java ob/f.java q9/b.java rb/d.java u3/g.java u3/m.java v9/c.java w3/d.java w3/e.java z4/a.java z4/p.java
辅助功能accessibility相关	c1/a.java d1/d.java
网络通信-> UDP数据报套接字	r8/q0.java t0/b.java t0/d.java
进程操作-> 获取运行的进程\服务	ja/r1.java u3/m.java
网络通信-> WebView 相关	显示文件 da/b.java tb/d.java tb/e.java tb/k.java w3/d.java w3/e.java
DEX-> 动态加载	显示文件 h4/e.java j9/b.java p/u.java w8/q.java
一般功能-> 查询数据库(短信、联系人、通话记录、浏览器历史等)	cf/d.java
一般功能-> Android通知	b6/l.java d0/x.java r8/j0.java
网络通信-> WebView JavaScript接口	da/b.java tb/d.java w3/e.java
网络通信-> WebView POST请求	w3/e.java
组件-> 启动 Service	显示文件 d0/x.java f0/d.java f0/m0.java i4/c.java r8/e1.java u3/g.java
隐私数据-> 屏幕截图，截取自己应用内部界面	e8/b.java o2/a.java r5/f0.java
进程操作-> 获取进程pid	显示文件 f0/d.java f0/i0.java ja/b.java ja/c.java ja/g.java ja/j.java ja/k.java ja/p.java ja/q.java ja/r1.java ja/v.java ja/z.java k0/e0.java
网络通信-> HTTPS建立连接	o3/a.java sb/y.java
隐私数据-> 获取已安装的应用程序	显示文件 f0/h0.java g0/g.java g0/h.java g1/q.java o9/b.java ob/f.java s9/c.java z4/s.java
隐私数据-> 获取GPS位置信息	显示文件 i/h.java p1/a.java r0/e.java r0/k.java
组件-> 发送广播	g0/g.java h6/b.java rb/d.java
网络通信-> UDP数据包	r8/q0.java
JavaScript 接口方法	fa/a.java tb/h.java
网络通信-> HTTP建立连接	显示文件 h5/j.java ja/e.java ja/g.java o3/a.java
网络通信-> 蓝牙连接	f0/d.java z4/s.java
隐私数据-> 剪贴板数据读写操作	f0/d.java lb/c.java p/i.java
命令执行-> getRuntime.exec()	ja/q.java
网络通信-> TCP服务器套接字	yd/d.java
进程操作-> 杀死进程	ja/v.java
一般功能-> 设置手机铃声，媒体音量	j2/a.java w9/b.java

安全漏洞检测

高危

2

警告

8

信息

2

安全

2

屏蔽

0

序号	问题	等级	参考标准	文件位置	操作
1	应用程序记录日志信息,不得记录敏感信息	信息	CWE: CWE-532: 通过日志文件的信息暴露 OWASP MASVS: MSTG-STORAGE-3	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_logging 规则仅对这些文件屏蔽 android_logging 规则
2	文件可能包含硬编码的敏感信息，如用户名、密码、密钥等	警告	CWE: CWE-312: 明文存储敏感信息 OWASP Top 10: M9: Reverse Engineering OWASP MASVS: MSTG-STORAGE-14	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_hardcoded 规则仅对这些文件屏蔽 android_hardcoded 规则
3	应用程序使用不安全的随机数生成器	警告	CWE: CWE-330: 使用不充分的随机数 OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-6	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_insecure_random 规则仅对这些文件屏蔽 android_insecure_random 规则
4	应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库	警告	CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当（'SQL 注入'） OWASP Top 10: M7: Client Code Quality	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_sql_raw_query 规则仅对这些文件屏蔽 android_sql_raw_query 规则
5	IP地址泄露	警告	CWE: CWE-200: 信息泄露 OWASP MASVS: MSTG-CODE-2	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_ip_disclosure 规则仅对这些文件屏蔽 android_ip_disclosure 规则
6	应用程序可以读取/写入外部存储器，任何应用程序都可以读取写入外部存储器的数据	警告	CWE: CWE-276: 默认权限不正确 OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_read_write_external 规则仅对这些文件屏蔽 android_read_write_external 规则
7	应用程序创建临时文件。敏感信息永远不应该被写进临时文件	警告	CWE: CWE-276: 默认权限不正确 OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_temp_file 规则仅对这些文件屏蔽 android_temp_file 规则
8	此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击	安全	OWASP MASVS: MSTG-NETWORK-4	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_ssl_pinning 规则仅对这些文件屏蔽 android_ssl_pinning 规则
9	此应用程序可能具有Root检测功能	安全	OWASP MASVS: MSTG-RESILIENCE-1	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_detect_root 规则仅对这些文件屏蔽 android_detect_root 规则
10	应用程序使用带PKCS5/PKCS7填充的加密模式CBC。此配置容易受到填充oracle攻击。	高危	CWE: CWE-649: 依赖于混淆或加密安全相关输入而不进行完整性检查 OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-3	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 cbc_padding_oracle 规则仅对这些文件屏蔽 cbc_padding_oracle 规则
11	不安全的Web视图实现。可能存在WebView任意代码执行漏洞	警告	CWE: CWE-749: 暴露危险方法或函数 OWASP Top 10: M1: Improper Platform Usage OWASP MASVS: MSTG-PLATFORM-7	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_webview 规则仅对这些文件屏蔽 android_webview 规则
12	此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板，因为其他应用程序可以访问它	信息	OWASP MASVS: MSTG-STORAGE-10	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_clipboard_copy 规则仅对这些文件屏蔽 android_clipboard_copy 规则
13	SHA-1是已知存在哈希冲突的弱哈希	警告	CWE: CWE-327: 使用已被攻破或存在风险的密码学算法 OWASP Top 10: M5: Insufficient Cryptography OWASP MASVS: MSTG-CRYPTO-4	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_sha1 规则仅对这些文件屏蔽 android_sha1 规则
14	该文件是World Writable。任何应用程序都可以写入文件	高危	CWE: CWE-276: 默认权限不正确 OWASP Top 10: M2: Insecure Data Storage OWASP MASVS: MSTG-STORAGE-2	升级会员：解锁高级权限	对应用 com.yaota.subjob 屏蔽 android_world_writable 规则仅对这些文件屏蔽 android_world_writable 规则

Native库安全分析

序号	动态库	NX(堆栈禁止执行)	PIE	STACK CANARY(栈保护)	RELRO	RPATH（指定SO搜索路径）	RUNPATH（指定SO搜索路径）	FORTIFY(常用函数加强检查)	SYMBOLS STRIPPED(裁剪符号表)
1	arm64-v8a/libapp.so	True info 二进制文件设置了 NX 位。这标志着内存页面不可执行，使得攻击者注入的 shellcode 不可执行。		True info 这个二进制文件在栈上添加了一个栈哨兵值，以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出	Not Applicable info RELRO 检查不适用于 Flutter/Dart 二进制文件	None info 二进制文件没有设置运行时搜索路径或RPATH	None info 二进制文件没有设置 RUNPATH	False info 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数（如 strcpy，gets 等）的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用	False warning 符号可用

文件分析

序号	问题	文件

敏感权限分析

恶意软件常用权限 3/30

android.permission.READ_PHONE_STATE
android.permission.REQUEST_INSTALL_PACKAGES
android.permission.VIBRATE

其它常用权限 5/46

android.permission.INTERNET
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE

恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。

IP地理位置

恶意域名检测

域名	状态	中国境内	位置信息
astat.bugly.cros.wr.pvp.net	安全	否	IP地址: 170.106.118.26 国家: 美利坚合众国地区: 加利福尼亚城市: 旧金山查看: Google 地图
mobilegw.aaa.alipay.net	安全	否	没有可用的地理位置信息。
schemas.microsoft.com	安全	否	IP地址: 119.28.121.133 国家: 美利坚合众国地区: 华盛顿城市: 雷德蒙查看: Google 地图
mobilegw-1-64.test.alipay.net	安全	否	没有可用的地理位置信息。
h5.m.taobao.com	安全	是	IP地址: 119.28.121.133 国家: 中国地区: 江苏城市: 镇江查看: 高德地图
api.flutter.dev	安全	否	IP地址: 199.36.158.100 国家: 美利坚合众国地区: 加利福尼亚城市: 山景城查看: Google 地图
default.url	安全	否	没有可用的地理位置信息。
www.amazon.com	安全	否	IP地址: 54.230.62.214 国家: 大韩民国地区: 京畿道城市: Icheon 查看: Google 地图
astat.bugly.qcloud.com	安全	否	IP地址: 119.28.121.133 国家: 新加坡地区: 新加坡城市: 新加坡查看: Google 地图
mobilegw.stable.alipay.net	安全	否	没有可用的地理位置信息。
mobilegw.alipaydev.com	安全	是	IP地址: 110.75.132.131 国家: 中国地区: 浙江城市: 杭州查看: 高德地图
dashif.org	安全	否	IP地址: 185.199.110.153 国家: 美利坚合众国地区: 宾夕法尼亚城市: 加利福尼亚查看: Google 地图
aomedia.org	安全	否	IP地址: 185.199.110.153 国家: 美利坚合众国地区: 宾夕法尼亚城市: 加利福尼亚查看: Google 地图

手机号提取

手机号	源码文件
16222222222	w6/e.java

URL链接分析

URL信息	源码文件
2.0.76.4	g4/b.java
127.0.0.1	h9/e.java
https://render.alipay.com/p/s/i?scheme=%s	i3/b.java
http://www.amazon.com/gp/mas/get-appstore/android/ref=mas_mx_mba_iap_dl	j4/a.java
4.1.9.3	ja/b.java
https://astat.bugly.qcloud.com/rqd/async https://astat.bugly.cros.wr.pvp.net/:8180/rqd/async	ja/d.java
https://h.trace.qq.com/kv	ja/e.java
4.1.9.3	ja/h1.java
https://mobilegw.alipay.com/mgw.htm https://mobilegw.alipaydev.com/mgw.htm https://mcgw.alipay.com/sdklog.do https://loggw-exsdk.alipay.com/loggw/logupload.do http://m.alipay.com/?action=h5quit https://wappaygw.alipay.com/home/exterfaceassign.htm? https://mclient.alipay.com/home/exterfaceassign.htm?	k3/a.java
https://h5.m.taobao.com/mlapp/olist.html	l3/a.java
https://play.google.com/store/apps/details?id=	o9/b.java
http://dashif.org/guidelines/last-segment-number data:cs:audiopurposecs:2007 http://dashif.org/guidelines/trickmode http://dashif.org/thumbnail_tile http://dashif.org/guidelines/thumbnail_tile file:dvb-dash:	t7/d.java
https://github.com/baseflow/flutter-permission-handler/issues	z4/p.java
https://mclient.alipay.com/home/exterfaceassign.htm? http://dashif.org/thumbnail_tile 2.0.76.4 http://wappaygw.alipay.com/service/rest.htm https://github.com/baseflow/flutter-permission-handler/issues https://render.alipay.com/p/s/i?scheme=%s file:dvb-dash: https://h.trace.qq.com/kv https://loggw-exsdk.alipay.com/loggw/logupload.do http://mobilegw.stable.alipay.net/mgw.htm http://mobilegw.aaa.alipay.net/mgw.htm https://astat.bugly.qcloud.com/rqd/async http://mobilegw-1-64.test.alipay.net/mgw.htm https://mobilegw.alipaydev.com/mgw.htm https://wappaygw.alipay.com/service/rest.htm http://www.amazon.com/gp/mas/get-appstore/android/ref=mas_mx_mba_iap_dl https://mclient.alipay.com/service/rest.htm https://mclient.alipay.com/cashier/mobilepay.htm https://developer.apple.com/streaming/emsg-id3 http://dashif.org/guidelines/thumbnail_tile https://mclient.alipay.com/home/exterfaceassign.htm https://mcgw.alipay.com/sdklog.do http://mclient.alipay.com/service/rest.htm https://play.google.com/store/apps/details?id= https://astat.bugly.cros.wr.pvp.net/:8180/rqd/async 127.0.0.1 http://mclient.alipay.com/home/exterfaceassign.htm https://default.url http://dashif.org/guidelines/last-segment-number https://mobilegw.alipay.com/mgw.htm data:cs:audiopurposecs:2007 http://m.alipay.com/?action=h5quit https://aomedia.org/emsg/id3 https://wappaygw.alipay.com/home/exterfaceassign.htm? https://h5.m.taobao.com/mlapp/olist.html http://mclient.alipay.com/cashier/mobilepay.htm 4.1.9.3 http://dashif.org/guidelines/trickmode	自研引擎-S
https://api.flutter.dev/flutter/material/scaffold/of.html	lib/arm64-v8a/libapp.so

Firebase配置检测

邮箱地址提取

第三方追踪器

名称	类别	网址
Bugly		https://reports.exodus-privacy.eu.org/trackers/190

敏感凭证泄露

已显示 7 个secrets

1、 e6b1bdcb890370f2f2419fe06d0fdf7628ad0083d52da1ecfe991164711bbf9297e75353de96f1740695d07610567b1240549af9cbd87d06919ac31c859ad37ab6907c311b4756e1e208775989a4f691bff4bbbc58174d2a96b1d0d970a05114d7ee57dfc33b1bafaf6e0d820e838427018b6435f903df04ba7fd34d73f843df9434b164e0220baabb10c8978c3f4c6b7da79d8220a968356d15090dea07df9606f665cbec14d218dd3d691cce2866a58840971b6a57b76af88b1a65fdffd2c080281a6ab20be5879e0330eb7ff70871ce684e7174ada5dc3159c461375a0796b17ce7beca83cf34f65976d237aee993db48d34a4e344f4d8b7e99119168bdd7
2、 b6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa78c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649
3、 16a09e667f3bcc908b2fb1366ea957d3e3adec17512775099da2f590b0667322a
4、 258EAFA5-E914-47DA-95CA-C5AB0DC85B11
5、 e2719d58-a985-b3c9-781a-b030af78d30e
6、 9a04f079-9840-4286-ab92-e65be0885f95
7、 01360240043788015936020505

字符串信息

建议导出为TXT，方便查看。

活动列表

显示 10 个 activities

服务列表

广播接收者列表

内容提供者列表

显示 3 个 providers

第三方SDK

SDK名称	开发者	描述信息
Flutter	Google	Flutter 是谷歌的移动 UI 框架，可以快速在 iOS 和 Android 上构建高质量的原生用户界面。
Bugly	Tencent	腾讯 Bugly，为移动开发者提供专业的异常上报和运营统计，帮助开发者快速发现并解决异常，同时掌握产品运营动态，及时跟进用户反馈。
支付宝 SDK	Alipay	支付宝开放平台基于支付宝海量用户，将强大的支付、营销、数据能力，通过接口等形式开放给第三方合作伙伴，帮助第三方合作伙伴创建更具竞争力的应用。
Google Play Billing	Google	Google Play 结算服务可让您在 Android 上销售数字内容。本文档介绍了 Google Play 结算服务解决方案的基本构建基块。要决定如何实现特定的 Google Play 结算服务解决方案，您必须了解这些构建基块。
File Provider	Android	FileProvider 是 ContentProvider 的特殊子类，它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。
Jetpack Media	Google	与其他应用共享媒体内容和控件。已被 media2 取代。

污点分析

当apk较大时，代码量会很大，造成数据流图（ICFG）呈现爆炸式增长，所以该功能比较耗时，请先喝杯咖啡，耐心等待……

规则名称	描述信息	操作
病毒分析	使用安卓恶意软件常用的API进行污点分析	开始分析
漏洞挖掘	漏洞挖掘场景下的污点分析	开始分析
隐私合规	隐私合规场景下的污点分析：组件内污点传播、组件间污点传播、组件与库函数之间的污点传播	开始分析
密码分析	分析加密算法是否使用常量密钥、静态初始化的向量（IV）、加密模式是否使用ECB等	开始分析
Callback	因为Android中系统级的Callback并不会出现显式地进行回调方法的调用，所以如果需要分析Callback方法需要在声明文件中将其声明，这里提供一份AndroidCallbacks.txt文件，里面是一些常见的原生回调接口或类，如果有特殊接口需求，可以联系管理员	开始分析