全国服务热线:4008-888-888

行业新闻

基建项目网站商城—Android APP检测之自动化技术技

········· 顾客服务 企业服务 ··· 生产制造制造行业vip会员会员专区 CNCERT CNNVD

创作管理方法管理中心

官方网网手机微信微信公众号企业安全性性新浪网网新浪网新浪微博

FreeBuf.COM互连网安全性性生产制造制造行业门户网网,每日发布技术性技术专业的安全性性新闻报道新闻资讯、技术性性剖析。

FreeBuf+手机微信微信小程序把安全性性放入包装袋

Android APP检测之自动式化检测实战演练演习:五大APP安全性性网上检测综合服务平台对比

Android APP检测之自动式化检测实战演练演习:五大APP安全性性网上检测综合服务平台对比

11:21:52 Android APP原文中写作者:

最近一直在科学研究科学研究的检测,写了一个系列产品商品的文章内容內容——手工制作制作检测,自动式化检测,广泛系统软件系统漏洞分析。
[标识:內容1]
今天给大家造成的是自动式化检测。这篇没有深层次次的讲解每一个系统软件系统漏洞的详尽信息内容,仅作检验结果对比和本身的体会体会。

0x01 五大网上检测综合服务平台

腾讯的金钢会计财务审计系统软件手机软件 


360的捉虫猎手 


阿里巴巴巴巴巴巴的聚安全性性

百度搜索检索的移动云检验管理方法管理中心


梆梆构造结构加固检验综合服务平台()


 

具体实际效果对比

这儿选用磨叽平均气温app的检验结果

百度搜索检索移动检验管理方法管理中心系统软件系统漏洞姓名风险性性级别说明修复建议详尽信息内容构件裸露——Activity中危当应用程序的构件被导出来来后,导出来来的构件可以被第三方app随便开启,从而导致较为比较敏感信息内容內容泄露,而且有意攻击者还能够依据认真构造数据信息信息内容来保证攻击整体总体目标应用的的目的。倘若构件无需二者中间他应用共享资源資源数据信息信息内容或进行互动交流,则在AndroidManifest.xml文本文档中设置这类状况件为 exported = “false”,反过来,则务必对导出来来的构件进行管理方法管理权限控制并且苛刻校验传入的关键主要参数。com.moji.mjweather.activity.main.MainActivity com.moji.mjweather.CSplashScreen com.moji.mjweather.activity.share.ManualShareActivity com.moji.mjweather.activity.skinshop.SkinSelectorActivity com.kepler.jd.login.AuthSuccessActivity com.moji.mjweather.activity.liveview.MessageDetailActivity com.moji.mjweather.activity.liveview.OwnerMessageCenterActivity com.moji.mjweather.activity.account.SnsLoginActivity com.moji.mjweather.activity.liveview.HomePageActivity com.moji.mjweather.activity.voiceclock.AlarmAlertActivity com.moji.mjweather.activity.voiceclock.AlarmAlertFullScreenActivity com.moji.mjweather.activity.share.SharePlatformDialog com.tencent.tauth.AuthActivity com.moji.mjweather.activity.liveview.LauncherCameraActivity com.moji.mjweather.activity.bindapp.InstallAppActivity com.moji.mjweather.activity.settings.WidgetConfigureActivity com.igexin.sdk.GActivity com.moji.mjweather.wxapi.WXPayEntryActivity com.moji.mjweather.wxapi.WXEntryActivity com.moji.mjweather.activity.forum.TopicActivity com.moji.mjweather.x5webview.BrowserActivity 共:2一个。构件裸露——Service中危当应用程序的构件被导出来来后,导出来来的构件可以被第三方app随便开启,从而导致较为比较敏感信息内容內容泄露,而且有意攻击者还能够依据认真构造数据信息信息内容来保证攻击整体总体目标应用的的目的。倘若构件无需二者中间他应用共享资源資源数据信息信息内容或进行互动交流,则在AndroidManifest.xml文本文档中设置这类状况件为 exported = “false”,反过来,则务必对导出来来的构件进行管理方法管理权限控制并且苛刻校验传入的关键主要参数。com.moji.mjweather.service.ScreenService com.igexin.sdk.PushService com.igexin.sdk.PushServiceUser com.moji.mjweather.authaccount.AuthenticationService com.moji.mjweather.authaccount.SyncService 共:五个。构件裸露——BroadcastReceiver中危当应用程序的构件被导出来来后,导出来来的构件可以被第三方app随便开启,从而导致较为比较敏感信息内容內容泄露,而且有意攻击者还能够依据认真构造数据信息信息内容来保证攻击整体总体目标应用的的目的。倘若构件无需二者中间他应用共享资源資源数据信息信息内容或进行互动交流,则在AndroidManifest.xml文本文档中设置这类状况件为 exported = “false”,反过来,则务必对导出来来的构件进行管理方法管理权限控制并且苛刻校验传入的关键主要参数。com.moji.mjweather.receiver.PackageReceiver com.moji.mjweather.receiver.MojiReceiver com.moji.mjweather.CMojiWidget4x1 com.moji.mjweather.CMojiWidget4x2 com.moji.mjweather.CMojiWidget5x1 com.moji.mjweather.CMojiWidget5x2 com.igexin.sdk.PushReceiver com.igexin.download.DownloadReceiver com.baidu.bottom.service.BottomReceiver com.zk.drivermonitor.reciever.SystemStartReceiver 共:10个。应用数据信息信息内容随便备份数据数据信息风险性性中危当AndroidManifest.xml配置文本文档中没有有设置allowBackup标识(默认设置设定为true)或将allowBackup标识设置为true时,应用程序的数据信息信息内容可以被随便备份数据数据信息和修补,有意攻击者可以依据adb专用型专用工具备份数据数据信息复制应用程序的数据信息信息内容。在AndroidManifest.xml文本文档中设置application的特点 android:allowBackup="false" 管理方法管理权限滥用风险性性中危自定管理方法管理权限的维护保养级别太低,导致随便应用程序都可以以令其用此管理方法管理权限,无法具备维护保养作用。如无须要,自定管理方法管理权限的维护保养级别至少要设置为:signature。
 系统软件系统漏洞姓名风险性性级别说明修复建议详尽信息内容WebView构件系统软件手机软件隐藏插孔未消除系统软件系统漏洞高危运用Android WebView构件时,没有消除在这其中嵌入的searchBoxJavaBridge_,accessibility和accessibilityTraversal等导出来来插孔, 可能导致远程控制操纵编号随便推行运用Android WebView构件时,依据开启removeJavascriptInterface方法消除searchBoxJavaBridge_, accessibility和accessibilityTraversal等导出来来插孔,防止被有意应用源码: 类:com.baidu.mobad.feeds.remote.BaiduActivity 方法:a 行数:-1WebView构件系统软件手机软件隐藏插孔未消除系统软件系统漏洞高危运用Android WebView构件时,没有消除在这其中嵌入的searchBoxJavaBridge_,accessibility和accessibilityTraversal等导出来来插孔, 可能导致远程控制操纵编号随便推行运用Android WebView构件时,依据开启removeJavascriptInterface方法消除searchBoxJavaBridge_, accessibility和accessibilityTraversal等导出来来插孔,防止被有意应用源码: 类:com.qq.em.plugin.j.a 方法:onAfterCreate 行数:-1Dex文本文档动态性性加载风险性性中危Android提供的DexClassLoader动态性性加载方法,并没有对DEX文本文档和相对性相对路径进行安全性性校验,可能导致加载文本文档或者提高文本文档被有意拆换运用DexClassLoader方法动态性性加载DEX文本文档时,对DEX文本文档进行安全性性校验,并保证加载相对性相对路径和提高相对性相对路径的安全性性源码: 类:com.baidu.mobad.feeds.remote.AdManager 方法:getPatchClassLoader 行数:-1SSL资质资格证书验证不当系统软件系统漏洞中危应用忽略资质资格证书校验歪斜确或信任随便资质资格证书,会导致中间人攻击,造成隐私保护维护泄露禁止运用ALLOW_ALL_HOSTNAME_VERIFIER;禁止运用X509TrustManager.checkServerTrusted方法来忽略资质资格证书验证歪斜确;在运用HostnameVerifier时verify合理处理,禁止马上返回true源码: 类:com.qq.em.plugin.k.d$a$1 方法:verify 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.qq.em.plugin.m.f 方法:a 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.qq.em.plugin.m.f 方法:b 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.qq.em.plugin.j.a 方法:onAfterCreate 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.baidu.mobad.feeds.remote.BaiduActivity 方法:a 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.baidu.mobad.feeds.remote.BaiduActivity$1 方法:shouldOverrideUrlLoading 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.baidu.mobad.feeds.remote.DownloaderTask 方法:a 行数:-1PendingIntent包含隐式Intent风险性性低危PendingIntent以其消息推送方应用的管理方法管理权限运用该PendingIntent包含的Intent,倘若该Intent为隐式的,可能造成隐私保护维护泄露和管理方法管理权限泄露运用PendingIntent时,建议运用显示信息信息内容Intent源码: 类:com.baidu.mobad.feeds.remote.download.e 方法:run 行数:-1PendingIntent包含隐式Intent风险性性低危PendingIntent以其消息推送方应用的管理方法管理权限运用该PendingIntent包含的Intent,倘若该Intent为隐式的,可能造成隐私保护维护泄露和管理方法管理权限泄露运用PendingIntent时,建议运用显示信息信息内容Intent源码: 类:com.qq.em.plugin.a.b.c 方法:d 行数:-1PendingIntent包含隐式Intent风险性性低危PendingIntent以其消息推送方应用的管理方法管理权限运用该PendingIntent包含的Intent,倘若该Intent为隐式的,可能造成隐私保护维护泄露和管理方法管理权限泄露运用PendingIntent时,建议运用显示信息信息内容Intent源码: 类:com.qq.em.plugin.a.i 方法:b 行数:-1WebView登录登陆密码保密存储系统软件系统漏洞低危在默认设置设定情况下,倘若顾客选择存储在WebView中输入的顾客名和登录登陆密码,则会被保密存储到应用数据信息信息内容文档文件目录的databases/webview.db文本文档中,存在登录登陆密码被泄露的风险性性运用WebView.getSettings().setSavePassword(false)来禁止存储登录登陆密码源码: 类:com.qq.em.plugin.m.c 方法:d 行数:-2系统日志泄露隐私保护维护风险性性低危调整输出插孔未关闭可能导致较为比较敏感信息内容內容泄露关闭调整插孔,禁止输出较为比较敏感信息内容內容源码: 类:com.baidu.mobads.location.BDLocManager 方法:a 行数:-2系统日志泄露隐私保护维护风险性性低危调整输出插孔未关闭可能导致较为比较敏感信息内容內容泄露关闭调整插孔,禁止输出较为比较敏感信息内容內容源码: 类:com.qq.em.plugin.g.a 方法:a 行数:-2系统日志泄露隐私保护维护风险性性低危调整输出插孔未关闭可能导致较为比较敏感信息内容內容泄露关闭调整插孔,禁止输出较为比较敏感信息内容內容源码:src/com/qihoo/util/StubApplication.java 类:com.qihoo.util.StubApplication 方法:initCrashReport 行数:93梆梆构造结构加固检验结果:內部网检验信息内容內容残留系统软件系统漏洞 鉴定项內部网检验信息内容內容残留系统软件系统漏洞 系统软件系统漏洞描述检测程序编写编码内部不是是包含残留检验信息内容內容,例如內部网url详尽详细地址等。系统软件系统漏洞伤害低鉴定方案计划方案 依据检测不是是包含內部网URl详尽详细地址,辨别不是是发布包中不是是包含检验数据信息信息内容。残留的检验数据信息信息内容,例如URL详尽详细地址,检验帐户,登录登陆密码,可能会失盗取并有意应用在公布互联网网络服务器努力行驶攻,例如帐户再试,攻击安全性性缺乏的检验互联网网络服务器以得到互联网网络服务器安全性性系统软件系统漏洞或者逻辑性性系统软件系统漏洞。鉴定结果安全性性系统软件系统漏洞分析该App应用中未包含检验数据信息信息内容信息内容內容。系统软件系统漏洞详尽信息内容N/A解决方案计划方案 N/A完全免费免费下载随便apk系统软件系统漏洞 鉴定项完全免费免费下载随便apk系统软件系统漏洞 系统软件系统漏洞描述检测应用中不是是存在完全免费免费下载随便apk的系统软件系统漏洞。系统软件系统漏洞伤害中鉴定方案计划方案 具有完全免费免费下载apk功效的构件存在导出来来系统软件系统漏洞,并且未对构件开启者进行校验。攻击者可应用导出来来构件的方法完全免费免费下载攻击者特殊的随便apk文本文档,并且在完全免费免费下载整个过程中隐藏apk文本文档的完全免费免费下载信息内容內容,例如标示、描述等,导致顾客被诱惑完全免费免费下载安装有意应用。鉴定结果安全性性系统软件系统漏洞分析该App应用中不容易有可被导出来来的具有完全免费免费下载apk功效的构件。系统软件系统漏洞详尽信息内容N/A解决方案计划方案 N/AHTTPS未校验互联网网络服务器资质资格证书系统软件系统漏洞 鉴定项HTTPS未校验互联网网络服务器资质资格证书系统软件系统漏洞 系统软件系统漏洞描述检测App程序在运用HTTPS协议书书传输数据信息信息内容时不是是对互联网网络服务器资质资格证书进行详尽校验。系统软件系统漏洞伤害中鉴定方案计划方案 运用HTTPS协议书书时,消费者端尽量对互联网网络服务器资质资格证书进行详尽校验,以验证互联网网络服务器是真实有效合理合法的整体总体目标互联网网络服务器。倘若没有校验,消费者端可能与仿冒的服务 器建立通信联接,即“中间人攻击”。仿冒的中间人可以仿冒互联网网络服务器与金融业组织消费者端进行互动交流,同时仿冒金融业组织消费者端与金融业组织互联网网络服务器进行互动交流,在作为中间人共享信息内容內容的 状况下,窃取手机上上号,帐户,登录登陆密码等较为比较敏感信息内容內容。鉴定结果存在系统软件系统漏洞系统软件系统漏洞分析该App应用在运用HTTPS进行数据信息信息内容传输时未校验互联网网络服务器资质资格证书或者未校验网络服务器名。系统软件系统漏洞详尽信息内容["com.moji.mjweather.util.log.InstalledAppTrackerSDK.a:(ILjava/lang/String;Lorg/apache/http/client/methods/HttpPost;)Ljava/lang/String;"]解决方案计划方案 在运用https时对互联网网络服务器资质资格证书进行校验,并且运用STRICT_HOSTNAME_VERIFIER苛刻校验网络服务器名。Webview远程控制操纵编号推行系统软件系统漏洞 鉴定项Webview远程控制操纵编号推行系统软件系统漏洞 系统软件系统漏洞描述检测app应用的webview构件中不是是存在远程控制操纵编号推行系统软件系统漏洞。系统软件系统漏洞伤害高鉴定方案计划方案 Webview是Android用于浏览网页页面网页页面的构件,其包含的插孔涵数addJavascriptInterface可以将Java类或方 法导出来来以供JavaScript开启,进行网页页面网页页面JS与本地JAVA的互动交流。由于系统软件手机软件没有限制已申请办理申请注册JAVA类的方法开启,因此未申请办理申请注册的别的一切JAVA类 还能够被反射面面体系开启,那般可能导致被仿冒的URL中存在的有意编号强制性实行,顾客手机上上被安装木马病毒病毒感染程序,消息推送扣钱短信,通信录或者短信失窃取,甚至手机上上被远 程控制。鉴定结果存在系统软件系统漏洞系统软件系统漏洞分析该App应用里将会存在被addJavascriptInterface插孔导出来来的未申请办理申请注册Java类涵数。系统软件系统漏洞详尽信息内容["com.tencent.bugly.crashreport.CrashReport.setJavascriptMonitor:(Landroid/webkit/WebView;ZZ)Z"]解决方案计划方案 撤消运用addJavascriptInterface插孔,以其他Java与 JavaScript互通方案计划方案取代;若尽量运用,则处理访问的url进行过滤限制或对html网页页面网页页面进行详尽性校验,同时显示信息信息内容消除对特殊的 javascript插孔的开启: removeJavascriptInterface(searchBoxJavaBridge_) emoveJavascriptInterface(accessibility);removeJavascriptInterface(accessibilityTraversal);。Webview避开资质资格证书校验系统软件系统漏洞 鉴定项Webview避开资质资格证书校验系统软件系统漏洞 系统软件系统漏洞描述检测App应用的webview构件不是是在发现https网页页面网页页面资质资格证书歪斜确事后续加载网页页面网页页面。系统软件系统漏洞伤害低鉴定方案计划方案 消费者端的Webview构件访问运用HTTPS协议书书数据信息数据加密的url时,倘若互联网网络服务器资质资格证书校验歪斜确,消费者端理应拒绝再度加载网页页面网页页面。但倘若轻载 WebView的onReceivedSslError()涵数并在这里在其中推行handler.proceed(),消费者端可以避开资质资格证书校验歪斜确再度访问此 非法URL。那般将会导致“中间人攻击”,攻击者仿冒互联网网络服务器与金融业组织消费者端进行互动交流,同时仿冒金融业组织消费者端与金融业组织互联网网络服务器进行互动交流,在作为中间人共享信息内容內容的时 候,窃取手机上上号,帐户,登录登陆密码等较为比较敏感信息内容內容。鉴定结果存在系统软件系统漏洞系统软件系统漏洞分析该App应用的webview构件中存在忽略资质资格证书校验歪斜确的系统软件系统漏洞。系统软件系统漏洞详尽信息内容[    "com.alipay.sdk.app.b.onReceivedSslError:(Landroid/webkit/WebView;Landroid/webkit/SslErrorHandler;Landroid/net/http/SslError;)V",    "com.alipay.sdk.app.d.onClick:(Landroid/content/DialogInterface;I)V",    "com.alipay.sdk.auth.AuthActivity.b.onReceivedSslError:(Landroid/webkit/WebView;Landroid/webkit/SslErrorHandler;Landroid/net/http/SslError;)V",    "com.alipay.sdk.auth.f.onClick:(Landroid/content/DialogInterface;I)V",    "com.tencent.smtt.sdk.aw.b.proceed:()V"]解决方案计划方案 撤消在Webveiw构件中对onReceivedSslError()涵数的轻载。360捉虫猎手检测结果:



因结果扫了很久还没有有出来,就马上来张其他app的扫描仪仪结果吧


 

阿里巴巴巴巴聚对磨叽平均气温的安全性性检测结果:系统软件系统漏洞详尽信息内容风险性性级別修复建议webview远程控制操纵编号推行系统软件系统漏洞(2个)addJavascriptInterface存在高危远程控制操纵编号推行系统软件系统漏洞,需承担量避免运用,API 取代addjavascriptInterface;消除系统软件手机软件webkit嵌入的风险性插孔searchBoxJavaBridge_,accessibility,accessibilityTraversal  高危触碰安全性性红杠

需承担量避免运用,API 取代addjavascriptInterface;消除系统软件手机软件webkit嵌入的风险性插孔searchBoxJavaBridge_,accessibility,accessibilityTraversalWebView不校验资质资格证书系统软件系统漏洞(一个)开启了android/webkit/SslErrorHandler类的proceed方法,可能导致WebView忽略校验资质资格证书的步骤高危触碰安全性性红杠
无须开启android.webkit.SslErrorHandler的proceed方法中间人攻击系统软件系统漏洞(一个)HTTPS禁止运用ALLOW_ALL_HOSTNAME_VERIFIER,因为那般会存在中间人攻击的风险性性 高危触碰安全性性红杠
尽量运用STRIC_HOSTNAME_VERIFIER并校验资质资格证书备份数据数据信息标示配置风险性性(一个)当这一标识被设置为true或不设置该标识时要用程序数据信息信息内容可以备份数据数据信息和修补,adb调整备份数据数据信息允许有意攻击者复制应用程序数据信息信息内容。  中危触碰安全性性红杠
在AndroidManifest.xml中设置android:allowBackup="false"拒绝服务系统软件系统漏洞(22个)不校验导出来来构件(Activity,Service等)的传输关键主要参数,导致拒绝服务,非常留意空值分辨以及类型转换辨别。  中危触碰安全性性红杠
请苛刻校验输入关键主要参数,注意空值分辨和类型转换辨别,防止由于出現出现异常输入导致的应用崩溃.SharedPrefs随便读写能力工作能力系统软件系统漏洞(2个)存在内容被拆换的风险性性,SharedPreference禁止运用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE 中危触碰安全性性红杠
无须运用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。网络服务器名弱效验(3个)在进行的HostnameVerifier子类中未对网络服务器名做效验,那般会导致有意程序应用中间人攻击避开网络服务器名效验。应用HostnameVerifier子类中的verify涵数效验互联网网络服务器网络服务器名的有效合理合法性。中危触碰安全性性红杠
在进行的HostnameVerifier子类verify涵数中校验网络服务器名的有效合理合法性。资质资格证书弱校验(3个)在进行的HostnameVerifier子类中未对网络服务器名做效验,那般会导致有意程序应用中间人攻击避开网络服务器名效验。应用HostnameVerifier子类中的verify涵数效验互联网网络服务器网络服务器名的有效合理合法性。中危触碰安全性性红杠在进行的X509TrustManager子类中checkServerTrusted涵数效验互联网网络服务器端资质资格证书的有效合理合法性。File随便读写能力工作能力系统软件系统漏洞(七个)存在内容被拆换的风险性性,openFileOutput禁止运用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE 中危触碰安全性性红杠无须运用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。随意数转换成涵数运用歪斜确(一个)运用SecureRandom时无须运用SecureRandom (byte[] seed)这一构造涵数,会造成转换成的随意数不随意。 高危建议依据/dev/urandom或者/dev/random得到的熵值来初始化伪随意数转换成器PRNGAES/DES弱数据信息数据加密风险性性(19个)运用AES/DES数据信息数据加密提升优化算法时,应显式特殊运用CBC或CFB方法.要不然十分非常容易遭到选择保密攻击(CPA)的风险性性,造成信息内容內容泄露。高危运用AES/DES数据信息数据加密提升优化算法时要运用CBC或CFB方法。或者运用安全性性构件的安全性性数据信息数据加密插孔SecurityCipher进行数据信息数据加密。Native动态性性调整(一个)so文本文档存在被调整的风险性性,攻击者可以应用此风险性性相符合用进行动态性性调整,造成重要逻辑性性和较为比较敏感数据信息信息内容等信息内容內容泄漏。高危密匙硬序号风险性性(9个)本地存储密匙存在网络黑客进攻者应用并依据密匙构造伪数据信息信息内容的风险性性。 高危1、禁止把密匙写死在程序中,2、运用聚安全性性提供的安全性性数据信息数据加密构件。初始化IvParameterSpec涵数歪斜确(七个)运用固定不动没动初始化室内空间空间向量,结果登录登陆密码文本可预测分析剖析性会高许多,十分非常容易遭到字典式攻击。修复建议:1、禁止运用自变量界定初始化矢量素材素材图片关键主要参数构建IvParameterSpec,2、明显强烈推荐运用聚安全性性提供的安全性性构件。 中危修复建议:1、禁止运用自变量界定初始化矢量素材素材图片关键主要参数构建IvParameterSpec,2、明显强烈推荐运用聚安全性性提供的安全性性构件。未进行安全性性构造结构加固风险性性(一个)应用没有被安全性性构造结构加固,攻击者可以应用重新安装包等方法修改程序的原始逻辑性性和内容,并递交仿冒app到第三方应用市场销售销售市场,欺骗顾客。 中危PendingIntent误用风险性性(五个)运用PendingIntent的状况下,倘若运用了一个空Intent,会导致有意顾客遭劫持修改Intent的内容。禁止运用一个空Intent去构造PendingIntent,构造PendingIntent的Intent一定要设置ComponentName或者action。中危禁止运用一个空Intent去构造PendingIntent,构造PendingIntent的Intent一定要设置ComponentName或者action。Webview保密存储登录登陆密码系统软件系统漏洞(五个)运用Webview时要要关闭webview的自动式存储登录登陆密码功效,防止顾客登录登陆密码被webview保密存储。中危显示信息信息内容设置webView.getSetting().setSavePassword(false)未消除有风险性性的Webview系统软件手机软件隐藏插孔(1七个)android webview构件包含3个隐藏的系统软件手机软件插孔:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,有意程序可以应用她们进行远程控制操纵编号推行。请依据显示信息信息内容开启removeJavascriptInterface消除这三个系统软件手机软件隐藏插孔。 中危请依据显示信息信息内容开启removeJavascriptInterface消除这三个系统软件手机软件隐藏插孔。数据信息信息内容弱维护保养(一个)数据信息信息内容安全性性维护保养级别较低,攻击者可以依据反方向分析等方法,较十分非常容易得得到应用的关键数据信息信息内容,比如签名提升优化算法、数据信息数据加密密匙、数据信息数据加密数据信息信息内容等。中危系统软件系统日志泄漏风险性性(20个)运用System.out.print等标准输出打印系统软件系统日志信息内容內容或复制到系统软件系统日志信息内容內容,十分非常容易泄漏较为比较敏感信息内容內容。建议删除所有运用System.out.print等标准输出打印系统软件系统日志或复制到系统软件系统日志信息内容內容的编号 低危建议删除所有运用System.out.print等标准输出打印系统软件系统日志或复制到系统软件系统日志信息内容內容的编号

相关阿里巴巴巴巴巴巴的聚安全性性,聚安全性性会给编号详尽信息内容打码,下列图(4.2号以后的国家免检产品准,务必验证app的签名,会给你一个demo,你务必把keystore每天每日签到阿里巴巴巴巴官方网网给的demo中,验证应用开发设计设计方案者,接着才能够看到详尽信息内容)下列图:


一些朋友说,出现了这一 “为维护保养应用隐私保护维护,查寻详尽信息内容系统软件系统漏洞位置请先申请办理申请办理”,

如何签名如何签名:

jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkin] [alias]
命令文档文件格式及关键主要参数具体实际意义:

-verbose -> 输出签名整个过程的详细信息内容內容

-keystore [keystorePath] -> 密匙的库的位置

-signedjar [apkOut] -> 签名后的输出文本文档名

[apkin] -> 待签名的文本文档名

[alias] -> 资质资格证书又称

案例:

D:\>jarsigner -verbose -keystore demo.keystore -signedjar jaq_demo_signed.apk jaq_demo.apk demo.keystore

下面讲下如何对app的应用开发设计设计方案者进行认证:


那么如何签名呢


创建一个keystore,用以存放签名app时要用的:

keytool -genkey -v -keystore relax.keystore -alias rela -keyalg RSA 转换成私钥

用私钥对apk进行再度签名

:~/Desktop# jarsigner -verbose -sigalg MD5withRSA --digestalg SHA1 -keystore /root/Desktop/relax.keystore jaq_demo_1460103308355.apk  rela


就是说,运用开发设计设计方案者的keystore对聚安全性性的哪一个demo.apk进行签名,接着就开展了认证

聚安全性性的一些其他话题讨论

聚安全性性结合黑云,里面有很多实例,有很多普遍系统软件系统漏洞的融合,是新手快速解决难点的好地区。


聚安全性性也是有一个仿冒检验:(这儿说下为什么会出现仿冒手机上手机软件,因为app没有构造结构加固,导致被反编译程序程序,挨揍包后,置入而已编号后又在其他地域公布,因而这儿劝诫一下,下app,一定要去官方网网网立在完全免费免费下载,能提供验证MD5,尽量要验证一下)


检测结果总结:阿里巴巴巴巴聚安全性性难点梳理:

webview远程控制操纵编号推行系统软件系统漏洞

WebView不校验资质资格证书系统软件系统漏洞

中间人攻击系统软件系统漏洞

备份数据数据信息标示配置风险性性

拒绝服务系统软件系统漏洞

SharedPrefs随便读写能力工作能力系统软件系统漏洞

网络服务器名弱效验

资质资格证书弱校验

File随便读写能力工作能力系统软件系统漏洞

随意数转换成涵数运用歪斜确

AES/DES弱数据信息数据加密风险性性

Native动态性性调整

密匙硬序号风险性性

初始化IvParameterSpec涵数歪斜确

未进行安全性性构造结构加固风险性性

PendingIntent误用风险性性

Webview保密存储登录登陆密码系统软件系统漏洞

未消除有风险性性的Webview系统软件手机软件隐藏插孔

数据信息信息内容弱维护保养

系统软件系统日志泄露隐私保护维护风险性性(logcat系统软件系统日志输出)

百度搜索检索移动检验管理方法管理中心难点梳理:

构件裸露——Activity

构件裸露——Service

构件裸露——BroadcastReceiver

应用数据信息信息内容随便备份数据数据信息风险性性

管理方法管理权限滥用风险性性

WebView构件系统软件手机软件隐藏插孔未消除系统软件系统漏洞

Dex文本文档动态性性加载风险性性

SSL资质资格证书验证不当系统软件系统漏洞

WebView登录登陆密码保密存储系统软件系统漏洞

PendingIntent包含隐式Intent风险性性

系统软件系统日志泄露隐私保护维护风险性性

最后看一下梆梆的检测结果:

Java编号维护保养风险性性

构件导出来来风险性性

较为比较敏感涵数开启风险性性

调整系统软件系统日志涵数开启风险性性

应用数据信息信息内容随便备份数据数据信息风险性性

保密数据信息资质资格证书风险性性

未运用HTTPS协议书书的数据信息信息内容传输风险性性

Webview保密存储登录登陆密码风险性性

HTTPS未校验互联网网络服务器资质资格证书系统软件系统漏洞

Webview远程控制操纵编号推行系统软件系统漏洞

Webview避开资质资格证书校验系统软件系统漏洞

梆梆的新鲜的闪亮点: 到一处 马上打印出app里涉及到到到的url文件目录详尽详细地址了,并不是是涉及到到到很多新鲜的二级网站域名和url。



总结和一些质疑

鉴定一下APP的安全性性特性够综合性性参考以上的检测,接着综合性性性的鉴定,阿里巴巴巴巴的务必验证开发设计设计方案者管理方法管理权限,百度搜索检索哪一个要出钱的,还十分好,梆梆还能够(很方便快捷渗透到额),360怎样一直扫描仪仪出不到报告。开发设计设计方案不一定能改第三方的包的安全性性难点,因而本包的难点能改的尽量改,大家能做的就是给app进行构造结构加固。



构造结构加固前后左右上下具体实际效果对比:

 


构造结构加固后,可以看到数据信息信息内容备份数据数据信息还是没有打钩,因为,我没对apk中的(在AndroidManifest.xml中设置android:allowBackup="false")这一设置项进行变动。

续集

本次网上检测实战演练演习致力于于帮助开发设计设计方案者快速的鉴定本身的android难点,作为一个新手app检测工作中工作人员,希望产生大家的是让本身的app更加安全性性,当然安全性性从开发设计设计方案一开始设计方案设计构思时,就该考虑到到不是是运用第三方包,那般,对app的安全性性更加可控性性。

阅读文章文章内容拓展

 安卓系统系统软件安全性性中文站

 移动app检测重要点

 10大移动安全性性威胁

*原文中写作者:,转截须标出来源于于FreeBuf互联网网络黑客与极客(FreeBuf.COM)

原文中写作者:, 转截请标出来源于于

被以下本人个人专辑百度搜索百度收录,发现很多精彩纷呈纷呈内容 + 盈利我的本人个人专辑 开展很多

点评

按时间排序

请登录/申请办理申请注册后在FreeBuf发布内容哦

相关明显强烈推荐

关 注

0 文章内容內容数 0 点评数 0 关注者 请 / 后在FreeBuf发布内容哦



在线客服

关闭

客户服务热线
4008-888-888


点击这里给我发消息 在线客服

点击这里给我发消息 在线客服