APP报告

  • 应用名称: 去哪儿旅行 V8.5.5
  • 应用包名: com.Qunar
  • 文件MD5: 7745e00a05ba2ac1fc8899e24b0727d5
安全得分: 57.0
盗版检测

解压检测低危

详细内容:用unzip成功解压APK包,可查看APK目录下文件

修复建议:  低危,可忽略

检测标准:  利用unzip工具解压apk文件,失败则视为安全

盗版检测安全

详细内容:原始包测试:安装:成功启动:成功运行:成功卸载:成功 重打包测试:反编译:成功重打包:成功安装:成功启动:成功运行:失败卸载:成功

修复建议:  无

检测标准:  使用非官方签名文件对应用进行签名,如果重新签名后应用无法运行则视为安全

签名信息安全

详细内容:Owner: CN=huan.cai, OU=qunar.com, O=qunar.com, L=beijing, ST=beijing, C=86
Issuer: CN=huan.cai, OU=qunar.com, O=qunar.com, L=beijing, ST=beijing, C=86
Serial number: 4c354d24
Valid from: Thu Jul 08 11:59:32 CST 2010 until: Fri Apr 10 11:59:32 CST 2065
Certificate fingerprints:
MD5: CB:61:9D:34:F2:EC:B8:2E:96:91:7C:D6:25:A6:4C:E6
SHA1: 85:90:C3:56:CB:3B:B6:CA:E8:C3:78:BC:FD:BE:6A:A3:F5:E2:52:DE
SHA256: DC:FB:86:EF:F5:BA:39:6B:F0:66:C0:9F:6A:0A:30:8E:2D:75:E5:C9:1E:FE:7E:09:1C:81:B8:8F:A8:7C:05:EE
Signature algorithm name: SHA1withRSA
Version: 3

检测标准:  只提供签名信息,暂不提供正版签名判断

代码检测

Java代码高危

详细内容:发现DEX文件未加密,可被apktool、dex2jar等破解工具反编译提取jar文件,并利用JD-GUI可查看java代码,存在源码泄漏风险

修复建议:对DEX文件做加密保护,目前有DEX整体加密和DEX函数加密,详情可参考 安卓APK加密

检测标准:利用apktool等破解工具反编译apk文件,如果反编译失败或反编译后的smali代码不可阅读则视为安全

data数据文件中危

详细内容:

/databases/gin.db 有风险

/databases/gls.db 有风险

/databases/gtc.db 有风险

修复建议:1. 不要在本地存储敏感数据;2. 对db数据文件进行加密保护

检测标准:检测db数据文件中是否包含敏感明文数据[如username、password、pwd等字符串],未检查到则视为安全,可避免攻击者窃取或篡改敏感数据

xml数据文件中危

详细内容:

/shared_prefs/QunarIMPreferences.xml 有风险

/shared_prefs/data_acra.xml 有风险

/shared_prefs/data_qav.xml 有风险

/shared_prefs/hen.xml 有风险

/shared_prefs/necro.xml 有风险

/shared_prefs/nqunar_ue.xml 有风险

/shared_prefs/qunar_hy_res.xml 有风险

修复建议:1. 不要在本地存储敏感数据;2. 对xml数据文件进行加密保护

检测标准:检测xml数据文件中是否包含敏感明文数据[如username、password、pwd等字符串],未检查到则视为安全,可避免攻击者窃取或篡改敏感数据

C、C++代码安全

详细内容:

lib/armeabi/libBaiduMapSDK_base_v3_7_3.so 安全等级

lib/armeabi/libBaiduMapSDK_map_v3_7_3.so 安全等级

lib/armeabi/libBaiduMapSDK_search_v3_7_3.so 安全等级

lib/armeabi/libBaiduMapSDK_util_v3_7_3.so 安全等级

lib/armeabi/libHDACEngine.so 安全等级

lib/armeabi/libagora-rtc-sdk-jni.so 安全等级

lib/armeabi/libagorasdk2.so 安全等级

lib/armeabi/libcnn.so 安全等级

lib/armeabi/libdiffpatch.so 安全等级

lib/armeabi/libfb.so 安全等级

lib/armeabi/libfolly_json.so 安全等级

lib/armeabi/libgetuiext2.so 安全等级

lib/armeabi/libgifimage.so 安全等级

lib/armeabi/libglog.so 安全等级

lib/armeabi/libglog_init.so 安全等级

lib/armeabi/libgnustl_shared.so 安全等级

lib/armeabi/libgoblin_3_1_2.so 安全等级

lib/armeabi/libicu_common.so 安全等级

lib/armeabi/libimage.so 安全等级

lib/armeabi/libimagepipeline.so 安全等级

lib/armeabi/libjsc.so 安全等级

lib/armeabi/liblgt.so 安全等级

lib/armeabi/liblivenessdetection_v2.4.2.so 安全等级

lib/armeabi/liblocSDK6a.so 安全等级

lib/armeabi/liblua_v1_0_4.so 安全等级

lib/armeabi/libnative_monitor.so 安全等级

lib/armeabi/libq_atom_attemper.so 安全等级

lib/armeabi/libq_atom_browser.so 安全等级

lib/armeabi/libq_atom_bus.so 安全等级

lib/armeabi/libq_atom_car.so 安全等级

lib/armeabi/libq_atom_carpool.so 安全等级

lib/armeabi/libq_atom_collab.so 安全等级

lib/armeabi/libq_atom_flight.so 安全等级

lib/armeabi/libq_atom_groupbuy.so 安全等级

lib/armeabi/libq_atom_home.so 安全等级

lib/armeabi/libq_atom_hotel.so 安全等级

lib/armeabi/libq_atom_im.so 安全等级

lib/armeabi/libq_atom_insur.so 安全等级

lib/armeabi/libq_atom_intercar.so 安全等级

lib/armeabi/libq_atom_meglive.so 安全等级

lib/armeabi/libq_atom_open.so 安全等级

lib/armeabi/libq_atom_order.so 安全等级

lib/armeabi/libq_atom_pay.so 安全等级

lib/armeabi/libq_atom_push.so 安全等级

lib/armeabi/libq_atom_share.so 安全等级

lib/armeabi/libq_atom_sight.so 安全等级

lib/armeabi/libq_atom_train.so 安全等级

lib/armeabi/libq_atom_user_center.so 安全等级

lib/armeabi/libq_atom_vacation.so 安全等级

lib/armeabi/libq_atom_voice.so 安全等级

lib/armeabi/libq_atom_voip.so 安全等级

lib/armeabi/libq_lib_ad.so 安全等级

lib/armeabi/libq_lib_asmdispatcher.so 安全等级

lib/armeabi/libq_lib_framework.so 安全等级

lib/armeabi/libq_lib_hy.so 安全等级

lib/armeabi/libq_lib_imagecache.so 安全等级

lib/armeabi/libq_lib_imsdk.so 安全等级

lib/armeabi/libq_lib_patch.so 安全等级

lib/armeabi/libq_lib_qav.so 安全等级

lib/armeabi/libq_lib_react.so 安全等级

lib/armeabi/libq_lib_rnqp.so 安全等级

lib/armeabi/libq_lib_thirdparty.so 安全等级

lib/armeabi/libreactnativejni.so 安全等级

lib/armeabi/libreactnativejnifb.so 安全等级

lib/armeabi/libstatic-webp.so 安全等级

lib/armeabi/libyoga.so 安全等级

修复建议:无

检测标准:对SO文件进行静态分析,如果存在加壳或代码混淆保护,则视为安全;因不确定用户核心文件,所以有一个4星的SO文件,则视为整体安全。

C#代码安全

详细内容:无相关数据

修复建议:无

检测标准:[检测U3D手游]利用.NET Reflector等工具反编译Assembly-CSharp.dll和Assembly-CSharp-firstpass.dll文件[U3d手游的核心文件],提取C#代码,如果失败则视为安全

Lua代码安全

详细内容:无相关数据

修复建议:无

检测标准:利用luadec等破解工具反编译Lua文件,如果反编译失败则视为安全

防御检测

SO调试检测高危

详细内容:危险,可动态调试SO文件,C或C++代码存在被调试分析的风险

修复建议:集成反调试保护功能,详情可参考 安卓APK加密

检测标准:通过静态分析SO文件的debug字段,或利用gdbserver动态注入来检查,如果调试失败则视为安全

进程注入检测高危

详细内容:危险,可对应用进程进行恶意注入,执行流程存在被恶意篡改的风险。存在界面劫持、键盘监听、网络监听等安全风险

修复建议:集成动态防护功能,避免恶意程序篡改应用进程数据,详情可参考 安卓APK加密

检测标准:对运行时的应用进行注入和HOOK攻击,如果失败则视为安全

内存安全检测高危

详细内容:危险,可读取或篡改应用的内存数据,内存中的敏感数据或代码存在泄漏风险。[手游可能产生内存挂]

修复建议:集成内存保护功能,详情可参考安卓APK加密

检测标准:对应用的内存数据进行读取或篡改,如果操作失败则视为安全

系统加速检测中危

详细内容:无

修复建议:集成防系统加速功能,详情可参考 U3D手游加密

检测标准:当手机的系统时间处于加速状态时,应用是否继续运行,停止运行则视为安全[手游加速挂]

Java调试检测安全

详细内容:安全,调试模式处于关闭状态

修复建议:无

检测标准:检测AnroidManifest.xml中的debuggable配置,关闭则视为安全

签名校验检测安全

详细内容:安全,具备签名校验保护机制

修复建议:无

检测标准:检查应用在启动时是否自动校验签名信息,存在校验机制则安全

漏洞检测

<Command> 代码执行检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<Command> 高权限代码执行风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<KeyStore><Hacker> KeyStore保护检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

应用沙箱权限检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<Implicit_Intent> 隐式服务检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL证书检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL连接检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<SSL_Security> SSL证书相关漏洞检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

<WebView><远程代码执行> WebView RCE漏洞检测风险

详细内容:
应用所有权认证后才可查看详情,[请联系客服进行人工认证]

权限检测
READ_CONTACTS
访问联系人数据
RECORD_AUDIO
允许录制声音
CALL_PHONE
允许拨打电话
ACCESS_FINE_LOCATION
精准的(GPS)位置
ACCESS_WIFI_STATE
查看 WLAN 状态
CHANGE_WIFI_STATE
允许改变WiFi状态
GET_TASKS
获取当前运行的应用程序
KILL_BACKGROUND_PROCESSES
允许结束后台进程
RECEIVE_BOOT_COMPLETED
开机时自动启动
ACCESS_COARSE_LOCATION
获取大概位置
INTERNET
允许访问网络连接
ACCESS_NETWORK_STATE
获取网络信息状态
READ_PHONE_STATE
读取手机状态和身份
WRITE_EXTERNAL_STORAGE
修改/删除SD卡中的内容
VIBRATE
允许控制振动器
CAMERA
允许拍照
FLASHLIGHT
允许控制闪光灯
WRITE_CALENDAR
添加/修改日程,发送邮件
READ_CALENDAR
读取日历活动
READ_EXTERNAL_STORAGE
读取SD卡上的内容
SYSTEM_ALERT_WINDOW
显示系统级警报
GET_ACCOUNTS
获取已知帐户
USE_CREDENTIALS
使用帐户的身份验证凭据
MODIFY_AUDIO_SETTINGS
允许更改音频设置
WAKE_LOCK
防止手机休眠
MODIFY_PHONE_STATE
允许修改电话状态,如飞行模式
MANAGE_ACCOUNTS
允许管理账户列表
NFC
允许执行NFC通讯操作
CHANGE_NETWORK_STATE
更改网络连接性