forked from wulio/Coeus
-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathreport.xml
More file actions
257 lines (257 loc) · 18.1 KB
/
report.xml
File metadata and controls
257 lines (257 loc) · 18.1 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
<?xml version="1.0" encoding="utf-8"?>
<coeus>
<sdkinfo>
<sdkname>getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0</sdkname>
<packageName>com.getui.onesdk</packageName>
<version>onesdk-1.0.0</version>
<sdksize>798KB</sdksize>
<md5>e98e661ec3804cf3c9ed21a17fa9584b</md5>
<targetsdk>targetSdkVersion 22</targetsdk>
<minsdk>minSdkVersion 14</minsdk>
<permission>android.permission.INTERNET</permission>
<permission>android.permission.READ_PHONE_STATE</permission>
<permission>android.permission.ACCESS_NETWORK_STATE</permission>
<permission>android.permission.CHANGE_WIFI_STATE</permission>
<permission>android.permission.ACCESS_WIFI_STATE</permission>
<permission>android.permission.RECEIVE_BOOT_COMPLETED</permission>
<permission>android.permission.WRITE_EXTERNAL_STORAGE</permission>
<permission>android.permission.VIBRATE</permission>
<permission>android.permission.GET_TASKS</permission>
<permission>getui.permission.GetuiService.${applicationId}</permission>
<permission>android.permission.WRITE_EXTERNAL_STORAGE</permission>
<permission>android.permission.READ_PHONE_STATE</permission>
<permission>android.permission.READ_EXTERNAL_STORAGE</permission>
<permission>android.permission.SYSTEM_ALERT_WINDOW</permission>
</sdkinfo>
<base-policy>
<target_sdk>
<name>22</name>
<summary>当前sdkversoin为22</summary>
<desc>电信终端产业协会(TAF)发布的《移动应用软件高 API 等级预置与分发自律公约》要求,截止到2019年5月1日所有新发布的应用 API 必须为26或更高,2019年8月1日现有应用 API
必须升级为26或更高。2019-11-1之后,上架谷歌Play商店要求应用的TargetSdkVersion>=28
</desc>
<level>2</level>
<slu>联系sdk开发者,修改sdk版本号</slu>
</target_sdk>
<warning-permission>
<name>android.permission.READ_PHONE_STATE</name>
<summary>读取手机状态和身份</summary>
<desc>工信部要求不可获取,其次是andoridQ版本将限制应用访问不可重设的设备识别码,如
IMEI、序列号等,所有获取设备识别码的接口都增加了新的权限:READ_PRIVILEGED_PHONE_STATE,该权限需要系统签名的应用才能申请,意味着三方应用无法获取设备识别码。
</desc>
<level>2</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.RECEIVE_BOOT_COMPLETED</name>
<summary>开机时自动启动</summary>
<desc>允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。</desc>
<level>1</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.WRITE_EXTERNAL_STORAGE</name>
<summary>修改/删除SD卡中的内容</summary>
<desc>允许应用程序写入SD卡。需用户授权,且不授权不能导致app失败,注意是否做好缺省。</desc>
<level>2</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.GET_TASKS</name>
<summary>检索当前运行的应用程序</summary>
<desc>允许应用程序检索有关当前和最近运行的任务的信息。注意该项可能违反工信部要求,个人隐私部分,且不授权不能影响用户使用。</desc>
<level>1</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.WRITE_EXTERNAL_STORAGE</name>
<summary>修改/删除SD卡中的内容</summary>
<desc>允许应用程序写入SD卡。需用户授权,且不授权不能导致app失败,注意是否做好缺省。</desc>
<level>2</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.READ_PHONE_STATE</name>
<summary>读取手机状态和身份</summary>
<desc>工信部要求不可获取,其次是andoridQ版本将限制应用访问不可重设的设备识别码,如
IMEI、序列号等,所有获取设备识别码的接口都增加了新的权限:READ_PRIVILEGED_PHONE_STATE,该权限需要系统签名的应用才能申请,意味着三方应用无法获取设备识别码。
</desc>
<level>2</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.READ_EXTERNAL_STORAGE</name>
<summary>读取外存</summary>
<desc>允许应用程序读SD卡,目前应工信部要求,需用户授权,且不授权不能导致app失败,注意是否做好缺省。</desc>
<level>2</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
<warning-permission>
<name>android.permission.SYSTEM_ALERT_WINDOW</name>
<summary>显示系统级警报</summary>
<desc>允许应用程序显示系统警报窗口。恶意应用程序可借此掌控整个手机屏幕。</desc>
<level>1</level>
<slu>请仔细查看该sdk用途和说明,如必须该权限需在app中保证用户同意,且隐私数据做匿名化处理,以此符合中央网信办、工信部、公安部、市场监管总局要求。</slu>
</warning-permission>
</base-policy>
<api-policy>
<api>
<name>获取imei</name>
<summary>sdk获取imei信息,需谨慎处理,否则APP可能被要求整改</summary>
<desc>1.工信部要求2.android10及以上获取不到了3.imei权限部分需要注意兼容</desc>
<code>invoke-virtual {v0}, Landroid/telephony/TelephonyManager;-&lt;getDeviceId()Ljava/lang/String;
</code>
<code>invoke-virtual {v0}, Landroid/telephony/TelephonyManager;-&lt;getDeviceId()Ljava/lang/String;
</code>
<code>invoke-virtual {v1}, Landroid/telephony/TelephonyManager;-&lt;getDeviceId()Ljava/lang/String;
</code>
<classname>\com\getui\gis\sdk\e\m.smali</classname>
<classname>\com\getui\gs\ias\e\x.smali</classname>
<classname>\com\getui\gtc\d\a\d.smali</classname>
<level>2</level>
<slu>
联系sdk开发负责人或针对此进行处理,说明使用原因。工信部要求,不得向第三方提供用户设备IMEI号、地理位置等个人信息,及sdk不得私自传输。若必须,请经用户同意,且做匿名化处理,并附有隐私政策说明。且若用户拒绝,不能影响app正常业务使用。
</slu>
</api>
<api>
<name>获取imsi</name>
<summary>sdk获取imsi信息,需谨慎处理,否则APP可能被要求整改</summary>
<desc>工信部要求,不得向第三方提供用户设备IMEI号、地理位置、imsi等个人信息,及sdk不得私自传输。若必须,请经用户同意,且做匿名化处理,并附有隐私政策说明。</desc>
<code>invoke-virtual {v0},
Landroid/telephony/TelephonyManager;-&lt;getSubscriberId()Ljava/lang/String;
</code>
<code>invoke-virtual {v0},
Landroid/telephony/TelephonyManager;-&lt;getSubscriberId()Ljava/lang/String;
</code>
<code>invoke-virtual {v0},
Landroid/telephony/TelephonyManager;-&lt;getSubscriberId()Ljava/lang/String;
</code>
<code>invoke-virtual {v1},
Landroid/telephony/TelephonyManager;-&lt;getSubscriberId()Ljava/lang/String;
</code>
<classname>\com\getui\gis\sdk\e\m.smali</classname>
<classname>\com\getui\gs\ias\e\ac.smali</classname>
<classname>\com\getui\gs\ias\e\x.smali</classname>
<classname>\com\getui\gtc\d\a\d.smali</classname>
<level>1</level>
<slu>
联系sdk开发负责人或针对此进行处理,说明使用原因。工信部要求,不得向第三方提供用户设备IMEI号、地理位置等个人信息,及sdk不得私自传输。若必须,请经用户同意,且做匿名化处理,并附有隐私政策说明。且若用户拒绝,不能影响app正常业务使用。
</slu>
</api>
<api>
<name>获取mac</name>
<summary>sdk获取mac信息,需谨慎处理,否则APP可能被要求整改</summary>
<desc>1.工信部要求,mac也属于个人信息,2.android9及以上系统会随机生成不同的 MAC</desc>
<code>invoke-virtual {v0}, Landroid/net/wifi/WifiInfo;-&lt;getMacAddress()Ljava/lang/String;</code>
<code>invoke-virtual {v0}, Landroid/net/wifi/WifiInfo;-&lt;getMacAddress()Ljava/lang/String;</code>
<code>invoke-virtual {v0}, Landroid/net/wifi/WifiInfo;-&lt;getMacAddress()Ljava/lang/String;</code>
<classname>\com\getui\gis\sdk\e\m.smali</classname>
<classname>\com\getui\gs\ias\e\x.smali</classname>
<classname>\com\getui\gtc\e\l.smali</classname>
<level>1</level>
<slu>
联系sdk开发负责人或针对此进行处理,说明使用原因。工信部要求,不得向第三方提供用户设备IMEI号、地理位置等个人信息,及sdk不得私自传输。若必须,请经用户同意,且做匿名化处理,并附有隐私政策说明。且若用户拒绝,不能影响app正常业务使用。
</slu>
</api>
<api>
<name>获取已安装程序列表</name>
<summary>sdk尝试获取已安装程序列表 1.该信息属于个人隐私信息 2.工信部要求</summary>
<desc>sdk获取app列表,极有可能导致被整改</desc>
<code>invoke-virtual {v0, p0, v1}, Landroid/content/pm/PackageManager;-&lt;queryIntentActivities(Landroid/content/Intent;I)Ljava/util/List;</code>
<code>invoke-virtual {v4, v0}, Landroid/content/pm/PackageManager;-&lt;getInstalledPackages(I)Ljava/util/List;</code>
<code>invoke-virtual {v4, v0}, Landroid/content/pm/PackageManager;-&lt;getInstalledPackages(I)Ljava/util/List;</code>
<classname>\com\getui\gs\ias\e\u.smali</classname>
<classname>\com\getui\gs\ias\e\x.smali</classname>
<classname>\com\getui\gs\ias\e\x.smali</classname>
<level>2</level>
<slu>
联系sdk开发负责人或针对此进行处理,说明使用原因。工信部要求,不得向第三方提供用户设备IMEI号、地理位置等个人信息,及sdk不得私自传输。若必须,请经用户同意,且做匿名化处理,并附有隐私政策说明。且若用户拒绝,不能影响app正常业务使用。
</slu>
</api>
</api-policy>
<api-exploit>
<api>
<name>动态注册Receiver权限设置漏洞风险</name>
<summary>动态注册Receiver权限设置漏洞风险</summary>
<desc>Receiver权限未设置,恶意程序可以发送相应的action广播危害应用安全</desc>
<code>invoke-virtual {v0, v1, v2}, Landroid/content/Context;-&lt;registerReceiver(Landroid/content/BroadcastReceiver;Landroid/content/IntentFilter;)Landroid/content/Intent;</code>
<code>invoke-virtual {p0, v1, v0}, Landroid/content/Context;-&lt;registerReceiver(Landroid/content/BroadcastReceiver;Landroid/content/IntentFilter;)Landroid/content/Intent;</code>
<classname>\com\getui\gis\sdk\c.smali</classname>
<classname>\com\getui\gs\sdk\b.smali</classname>
<level>2</level>
<slu>使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission, Handler)替代</slu>
</api>
<api>
<name>广播信息泄露风险</name>
<summary>广播信息泄露风险</summary>
<desc>广播信息泄露风险</desc>
<code>invoke-virtual {p1, v0}, Landroid/content/Context;-&lt;sendBroadcast(Landroid/content/Intent;)V
</code>
<code>invoke-virtual {v1, v6}, Landroid/content/Context;-&lt;sendBroadcast(Landroid/content/Intent;)V
</code>
<code>invoke-virtual {v0, v2}, Landroid/content/Context;-&lt;sendBroadcast(Landroid/content/Intent;)V
</code>
<classname>\com\getui\gis\sdk\a\a.smali</classname>
<classname>\com\getui\gtc\a\e$a.smali</classname>
<classname>\com\getui\gtc\d\a\d.smali</classname>
<level>2</level>
<slu>建议使用显式调用方式发送Intent;进程内发送消息建议使用LocalBroadcastManager;</slu>
</api>
<api>
<name>弱随机数密钥</name>
<summary>sdk弱随机数密钥</summary>
<desc>4.4以下存在随机数破解漏洞风险</desc>
<code>invoke-direct {v3}, Ljava/security/SecureRandom;-&lt;&gt;init&lt;()V</code>
<code>invoke-direct {v3}, Ljava/security/SecureRandom;-&lt;&gt;init&lt;()V</code>
<classname>\com\getui\gis\sdk\e\f.smali</classname>
<classname>\com\getui\gs\ias\b\a.smali</classname>
<level>1</level>
<slu>建议复查下调用,避免使用弱随机数密钥</slu>
</api>
<api>
<name>日志信息泄露风险</name>
<summary>日志信息泄露风险</summary>
<desc>日志信息泄露风险,建议去除日志信息</desc>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<code>invoke-static {v0, v1}, Landroid/util/Log;-&lt;d(Ljava/lang/String;Ljava/lang/String;)I</code>
<classname>\com\getui\gs\ias\e\m.smali</classname>
<classname>\com\getui\gs\ias\e\m.smali</classname>
<classname>\com\getui\gs\ias\floatwindow\k.smali</classname>
<classname>\com\getui\gs\ias\floatwindow\k.smali</classname>
<classname>\com\getui\gs\ias\floatwindow\k.smali</classname>
<classname>\com\getui\gs\ias\floatwindow\k.smali</classname>
<level>1</level>
<slu>日志信息泄露,可能威胁用户敏感隐私数据安全。</slu>
</api>
<api>
<name>动态加载其他程序</name>
<summary>sdk动态加载其他程序</summary>
<desc>sdk尝试进行动态加载其他程序</desc>
<code>invoke-direct {v2, v1, v4, v5, v6}, Ldalvik/system/DexClassLoader;-&lt;&gt;init&lt;(Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/ClassLoader;)V</code>
<classname>\com\getui\gtc\b\c.smali</classname>
<level>2</level>
<slu>加载的APK、DEX文件时要进行合理的校验;动态加载的文件应该了解其加载的内容</slu>
</api>
</api-exploit>
<url-safe>
<http-code>http://%s/bd</http-code>
<http-code>http://%s/api.php?format=json&t=1</http-code>
<http-code>https://%s/encryption/key/fetch</http-code>
<http-code>http://%s/geshu/smartStatistics/upe</http-code>
<http-code>http://%s/geshu/sdkStatistics/ubi</http-code>
<http-code>http://%s/geshu/sdkStatistics/bd</http-code>
<http-code>http://%s/geshu/sdk/getBaseConfs</http-code>
<http-code>http://%s/geshu/sdk/getCompleteConfs</http-code>
<http-code>http://%s/geshu/sdk/getAccessToken</http-code>
<http-code>http://%s/geshu/sdk/uConfs</http-code>
<http-code>http://%s/geshu/sdkStatistics/ued</http-code>
<http-code>http://%s/geshu/sdkStatistics/uud</http-code>
<http-code>http://c-gtc.getui.com/api.php?format=json&t=1</http-code>
<http-code>http://b-gtc.getui.com/api.php?format=json&t=1</http-code>
<http-code>http://sdk.open.phone.igexin.com/api/addr.htm</http-code>
</url-safe>
</coeus>