APP报告

  • 应用名称: 手机淘宝 V6.8.0
  • 应用包名: com.taobao.taobao
  • 文件MD5: 431a3cccbd7e7f1ab1979efb26235bf0
安全得分: 73.3
盗版检测

解压检测低危

详细内容:用unzip成功解压APK包,可查看APK目录下文件

修复建议:  低危,可忽略

检测标准:  利用unzip工具解压apk文件,失败则视为安全

盗版检测安全

详细内容:原始包测试:安装:成功启动:成功运行:成功卸载:成功 重打包测试:反编译:成功重打包:成功安装:成功启动:成功运行:失败卸载:成功

修复建议:  无

检测标准:  使用非官方签名文件对应用进行签名,如果重新签名后应用无法运行则视为安全

签名信息安全

详细内容:Owner: CN=taobao, OU=taobao, O=taobao, L=hangzhou, ST=zhejiang, C=CN
Issuer: CN=taobao, OU=taobao, O=taobao, L=hangzhou, ST=zhejiang, C=CN
Serial number: 4c59152e
Valid from: Wed Aug 04 15:22:22 CST 2010 until: Sun Dec 20 15:22:22 CST 2037
Certificate fingerprints:
MD5: 50:6D:2C:60:49:63:D3:A9:B2:79:4B:A6:48:01:02:4E
SHA1: 4D:84:31:44:ED:57:7E:0A:2F:D7:B7:CC:13:DF:CC:C3:82:DF:49:7A
SHA256: C5:E9:BC:4C:5C:C7:A3:44:82:C6:27:CB:9A:76:B8:8E:30:B5:09:D0:DA:3B:A5:4A:66:27:42:00:E1:9C:27:43
Signature algorithm name: SHA1withRSA
Version: 3

检测标准:  只提供签名信息,暂不提供正版签名判断

代码检测

Java代码高危

详细内容:发现DEX文件未加密,可被apktool、dex2jar等破解工具反编译提取jar文件,并利用JD-GUI可查看java代码,存在源码泄漏风险

修复建议:对DEX文件做加密保护,目前有DEX整体加密和DEX函数加密,详情可参考 安卓APK加密

检测标准:利用apktool等破解工具反编译apk文件,如果反编译失败或反编译后的smali代码不可阅读则视为安全

data数据文件中危

详细内容:

/databases/accs.db 有风险

/databases/ut.db 有风险

修复建议:1. 不要在本地存储敏感数据;2. 对db数据文件进行加密保护

检测标准:检测db数据文件中是否包含敏感明文数据[如username、password、pwd等字符串],未检查到则视为安全,可避免攻击者窃取或篡改敏感数据

xml数据文件中危

详细内容:

/shared_prefs/ACCS_SDK.xml 有风险

/shared_prefs/Agoo_AppStore.xml 有风险

/shared_prefs/Alvin2.xml 有风险

/shared_prefs/ContextData.xml 有风险

/shared_prefs/MtopConfigStore.xml 有风险

/shared_prefs/UTCommon.xml 有风险

/shared_prefs/_andfix_.xml 有风险

/shared_prefs/cloud_image_setting.xml 有风险

/shared_prefs/com.google.android.gms.appid.xml 有风险

/shared_prefs/com.taobao.taobao_preferences.xml 有风险

/shared_prefs/image_strategy_preferences.xml 有风险

/shared_prefs/multidex.version.xml 有风险

/shared_prefs/orange_ips.xml 有风险

/shared_prefs/safemode_sp.xml 有风险

/shared_prefs/secure_session.xml 有风险

/shared_prefs/silence_sp.xml 有风险

/shared_prefs/ut_setting.xml 有风险

修复建议:1. 不要在本地存储敏感数据;2. 对xml数据文件进行加密保护

检测标准:检测xml数据文件中是否包含敏感明文数据[如username、password、pwd等字符串],未检查到则视为安全,可避免攻击者窃取或篡改敏感数据

C、C++代码安全

详细内容:

lib/armeabi/libACRCloudEngineExtr.so 安全等级

lib/armeabi/libAWT.so 安全等级

lib/armeabi/libBSPatch.so 安全等级

lib/armeabi/libEffectsCore.so 安全等级

lib/armeabi/libEngine.so 安全等级

lib/armeabi/libT3dPlus.so 安全等级

lib/armeabi/libandfix.so 安全等级

lib/armeabi/libcipherdb-0.0.1.so 安全等级

lib/armeabi/libcocklogic-1.1.3.so 安全等级

lib/armeabi/libcom_alibaba_dynamic_weex.so 安全等级

lib/armeabi/libcom_alibaba_security_biometrics_face.so 安全等级

lib/armeabi/libcom_alibaba_security_rp_service.so 安全等级

lib/armeabi/libcom_alibaba_wdk_txd.so 安全等级

lib/armeabi/libcom_etao_feimagesearch.so 安全等级

lib/armeabi/libcom_taobao_acds.so 安全等级

lib/armeabi/libcom_taobao_alibcpromotion.so 安全等级

lib/armeabi/libcom_taobao_alivfssdk_monitor.so 安全等级

lib/armeabi/libcom_taobao_allspark.so 安全等级

lib/armeabi/libcom_taobao_android_audio.so 安全等级

lib/armeabi/libcom_taobao_android_capsule.so 安全等级

lib/armeabi/libcom_taobao_android_detail.so 安全等级

lib/armeabi/libcom_taobao_android_gmlab.so 安全等级

lib/armeabi/libcom_taobao_android_htao.so 安全等级

lib/armeabi/libcom_taobao_android_market_plugin.so 安全等级

lib/armeabi/libcom_taobao_android_msoa.so 安全等级

lib/armeabi/libcom_taobao_android_newtrade.so 安全等级

lib/armeabi/libcom_taobao_android_scancode.so 安全等级

lib/armeabi/libcom_taobao_android_tbcatch.so 安全等级

lib/armeabi/libcom_taobao_android_vr.so 安全等级

lib/armeabi/libcom_taobao_appfrmbundle.so 安全等级

lib/armeabi/libcom_taobao_avplayer.so 安全等级

lib/armeabi/libcom_taobao_browser.so 安全等级

lib/armeabi/libcom_taobao_cainiao.so 安全等级

lib/armeabi/libcom_taobao_calendar.so 安全等级

lib/armeabi/libcom_taobao_chargecenter.so 安全等级

lib/armeabi/libcom_taobao_cloakroom.so 安全等级

lib/armeabi/libcom_taobao_coupon.so 安全等级

lib/armeabi/libcom_taobao_cun.so 安全等级

lib/armeabi/libcom_taobao_detail_rate.so 安全等级

lib/armeabi/libcom_taobao_dynamic.so 安全等级

lib/armeabi/libcom_taobao_dynamic_test.so 安全等级

lib/armeabi/libcom_taobao_favorite.so 安全等级

lib/armeabi/libcom_taobao_guang.so 安全等级

lib/armeabi/libcom_taobao_headline.so 安全等级

lib/armeabi/libcom_taobao_huawei.so 安全等级

lib/armeabi/libcom_taobao_interact_publish.so 安全等级

lib/armeabi/libcom_taobao_ju_android.so 安全等级

lib/armeabi/libcom_taobao_ju_luaview.so 安全等级

lib/armeabi/libcom_taobao_lifeservice.so 安全等级

lib/armeabi/libcom_taobao_linkmanager.so 安全等级

lib/armeabi/libcom_taobao_login4android.so 安全等级

lib/armeabi/libcom_taobao_magicmirror.so 安全等级

lib/armeabi/libcom_taobao_mother.so 安全等级

lib/armeabi/libcom_taobao_mytaobao.so 安全等级

lib/armeabi/libcom_taobao_ocean.so 安全等级

lib/armeabi/libcom_taobao_openmarket.so 安全等级

lib/armeabi/libcom_taobao_passivelocation.so 安全等级

lib/armeabi/libcom_taobao_pirateengine.so 安全等级

lib/armeabi/libcom_taobao_playbuddy.so 安全等级

lib/armeabi/libcom_taobao_ranger.so 安全等级

lib/armeabi/libcom_taobao_relationship.so 安全等级

lib/armeabi/libcom_taobao_rushpromotion.so 安全等级

lib/armeabi/libcom_taobao_search.so 安全等级

lib/armeabi/libcom_taobao_shop.so 安全等级

lib/armeabi/libcom_taobao_speech.so 安全等级

lib/armeabi/libcom_taobao_takeout.so 安全等级

lib/armeabi/libcom_taobao_talent.so 安全等级

lib/armeabi/libcom_taobao_tao_apass.so 安全等级

lib/armeabi/libcom_taobao_tao_channel.so 安全等级

lib/armeabi/libcom_taobao_tao_contacts.so 安全等级

lib/armeabi/libcom_taobao_tao_powermsg.so 安全等级

lib/armeabi/libcom_taobao_tao_update.so 安全等级

lib/armeabi/libcom_taobao_taobao_alipay.so 安全等级

lib/armeabi/libcom_taobao_taobao_cashdesk.so 安全等级

lib/armeabi/libcom_taobao_taobao_home.so 安全等级

lib/armeabi/libcom_taobao_taobao_map.so 安全等级

lib/armeabi/libcom_taobao_taoguide.so 安全等级

lib/armeabi/libcom_taobao_taolive.so 安全等级

lib/armeabi/libcom_taobao_tbarmagic.so 安全等级

lib/armeabi/libcom_taobao_tmallpedometer.so 安全等级

lib/armeabi/libcom_taobao_ton.so 安全等级

lib/armeabi/libcom_taobao_trade_rate.so 安全等级

lib/armeabi/libcom_taobao_wangxin.so 安全等级

lib/armeabi/libcom_taobao_weapp.so 安全等级

lib/armeabi/libcom_taobao_weappplus.so 安全等级

lib/armeabi/libcom_taobao_xiaomi.so 安全等级

lib/armeabi/libcom_tmall_wireless_awareness_api.so 安全等级

lib/armeabi/libcom_tmall_wireless_plugin.so 安全等级

lib/armeabi/libcom_tmall_wireless_tangram_plugin.so 安全等级

lib/armeabi/libcrashsdk.so 安全等级

lib/armeabi/libdalvikhack.so 安全等级

lib/armeabi/libdalvikpatch.so 安全等级

lib/armeabi/libdexinterpret.so 安全等级

lib/armeabi/libdexopt.so 安全等级

lib/armeabi/libleveldbjni.so 安全等级

lib/armeabi/libperf.so 安全等级

lib/armeabi/libpexcore.so 安全等级

lib/armeabi/libpexgif-v7a.so 安全等级

lib/armeabi/libpexgif.so 安全等级

lib/armeabi/libpexwebp-v7a.so 安全等级

lib/armeabi/libpexwebp.so 安全等级

lib/armeabi/libpreverify.so 安全等级

lib/armeabi/libreflectmap-dat.so 安全等级

lib/armeabi/libreflectmap.so 安全等级

lib/armeabi/libsgavmp.so 安全等级

lib/armeabi/libsgmain.so 安全等级

lib/armeabi/libsgmisc.so 安全等级

lib/armeabi/libsgsecuritybody.so 安全等级

lib/armeabi/libsguatrace.so 安全等级

lib/armeabi/libtlog.so 安全等级

lib/armeabi/libtnet-3.1.12.so 安全等级

lib/armeabi/libut_c_api.so 安全等级

lib/armeabi/libweexjsc.so 安全等级

修复建议:无

检测标准:对SO文件进行静态分析,如果存在加壳或代码混淆保护,则视为安全;因不确定用户核心文件,所以有一个4星的SO文件,则视为整体安全。

C#代码安全

详细内容:无相关数据

修复建议:无

检测标准:[检测U3D手游]利用.NET Reflector等工具反编译Assembly-CSharp.dll和Assembly-CSharp-firstpass.dll文件[U3d手游的核心文件],提取C#代码,如果失败则视为安全

Lua代码安全

详细内容:无相关数据

修复建议:无

检测标准:利用luadec等破解工具反编译Lua文件,如果反编译失败则视为安全

防御检测

Java调试检测安全

详细内容:安全,调试模式处于关闭状态

修复建议:无

检测标准:检测AnroidManifest.xml中的debuggable配置,关闭则视为安全

SO调试检测安全

详细内容:安全,SO文件具备反调试保护

修复建议:无

检测标准:通过静态分析SO文件的debug字段,或利用gdbserver动态注入来检查,如果调试失败则视为安全

进程注入检测安全

详细内容:安全,应用进程具备自我保护功能

修复建议:无

检测标准:对运行时的应用进行注入和HOOK攻击,如果失败则视为安全

内存安全检测安全

详细内容:安全,不能读取或篡改修改应用的内存数据

修复建议:无

检测标准:对应用的内存数据进行读取或篡改,如果操作失败则视为安全

签名校验检测安全

详细内容:安全,具备签名校验保护机制

修复建议:无

检测标准:检查应用在启动时是否自动校验签名信息,存在校验机制则安全

系统加速检测安全

详细内容:安全,具备防系统加速功能

修复建议:无

检测标准:当手机的系统时间处于加速状态时,应用是否继续运行,停止运行则视为安全[手游加速挂]

漏洞检测

<Command> 代码执行检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<Hacker> Base64字符串加密检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<Implicit_Intent> 隐式服务检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL证书检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL连接检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL证书相关漏洞检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<WebView><远程代码执行> WebView RCE漏洞检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

权限检测
READ_CONTACTS
访问联系人数据
RECORD_AUDIO
允许录制声音
GET_TASKS
获取当前运行的应用程序
ACCESS_WIFI_STATE
查看 WLAN 状态
WRITE_SETTINGS
修改全局系统设置
ACCESS_COARSE_LOCATION
获取大概位置
ACCESS_FINE_LOCATION
精准的(GPS)位置
RECEIVE_BOOT_COMPLETED
开机时自动启动
CHANGE_WIFI_STATE
允许改变WiFi状态
READ_LOGS
读取系统日志文件
CAMERA
允许拍照
INTERNET
允许访问网络连接
ACCESS_NETWORK_STATE
获取网络信息状态
READ_PHONE_STATE
读取手机状态和身份
WRITE_EXTERNAL_STORAGE
修改/删除SD卡中的内容
VIBRATE
允许控制振动器
SYSTEM_ALERT_WINDOW
显示系统级警报
WAKE_LOCK
防止手机休眠
MODIFY_AUDIO_SETTINGS
允许更改音频设置
READ_EXTERNAL_STORAGE
读取SD卡上的内容
BATTERY_STATS
获取/修改电池统计信息
BLUETOOTH
允许创建蓝牙连接
MANAGE_ACCOUNTS
允许管理账户列表
USE_CREDENTIALS
使用帐户的身份验证凭据
FLASHLIGHT
允许控制闪光灯
GET_ACCOUNTS
获取已知帐户
AUTHENTICATE_ACCOUNTS
允许以帐户身份验证程序
BLUETOOTH_ADMIN
允许蓝牙管理