温馨提示:本平台仅供研究软件风险、安全评估,禁止用于非法用途。由于展示的数据过于全面,请耐心等待加载完成。如有疑问或建议, 可加入我们的微信群讨论

应用图标

应用评分

文件信息

文件名称 Coacha v2.17.apk
文件大小 6.35MB
MD5 57addeed5a9deaac39ecdfdfd55b531a
SHA1 f937837be4a271b3a58f5364a5589a3d06ba101e
SHA256 597b5ae763fb38cf6402398f342cbf995a140479a4bce539e1dad155bf60f1c1
病毒检测 文件安全

应用信息

应用名称 Coacha
包名 com.coachaapp
主活动 com.coachaapp.MainActivity
目标SDK 33 最小SDK 21
版本号 2.17 子版本号 2023111502
加固信息 未加壳
开发框架 React Native
非法应用检测 (该功能即将上线,识别赌博、诈骗、色情和黑产等类型应用)

GooglePlay应用信息

标题 Coacha
评分 3.7619047
安装 10,000+   次下载
价格 0
Android版本支持
分类 体育
Play 商店链接 com.coachaapp
开发者 Coacha
开发者 ID Coacha
开发者 地址 None
开发者 主页 https://www.coacha.co.uk
开发者 Email support@coacha.co.uk
发布日期 2020年12月3日
隐私政策 Privacy link

关于此应用 
Coacha软件使业余体育教练和俱乐部秘书可以轻松地管理其俱乐部和会员。它有助于监控出勤情况并跟踪俱乐部财务状况,同时确保会员信息安全无虞。 Coacha简单易用,但在所有正确的方式上都有用。

在Coacha,我们有一项口头禅-保持简单。您无需成为软件专家即可使用Coacha,只需从易于使用的界面登录并管理整个俱乐部即可。 Coacha将彻底改变您管理人员,俱乐部财务,新闻广播和出勤统计的方式。

这个Android应用程式需要Coacha帐户。

组件导出信息

查看
查看
查看
查看

扫描选项

重新扫描 管理规则 动态分析

反编译代码

Manifest文件 查看
APK文件 成为会员,解锁下载
Java源代码 查看 -- 下载

证书信息 

二进制文件已签名
v1 签名: True
v2 签名: True
v3 签名: True
v4 签名: False
主题: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Android
签名算法: rsassa_pkcs1v15
有效期自: 2019-08-30 08:36:01+00:00
有效期至: 2049-08-30 08:36:01+00:00
发行人: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Android
序列号: 0xb9b4627f94791b5da90d241978c953a4b2151bbb
哈希算法: sha256
证书MD5: 9424ac4546580fc3bce327257aa27b9c
证书SHA1: 0ca89ad3ac47a40ab4b62a2cdba3bfe6188e2e05
证书SHA256: 743c7ba14507b4cae284abea5d6e2b2a5da79a15e97f1de736581f3d29a4d950
证书SHA512: d0c57fdff9f718afe216fa70c0d62146fed273fecc237ae698c54925556d11796ae77770ee6afcc2bbb2b7aac61b1a0d67d6e9874eba8051721e83cbd0204a5a
公钥算法: rsa
密钥长度: 4096
指纹: 6cea941ddbf27dbe04f167001c1a50411cdfb85697b418fed5328caf512b3881
找到 1 个唯一证书

应用程序权限

权限名称 安全等级 权限内容 权限描述 关联代码
android.permission.INTERNET 危险 完全互联网访问 允许应用程序创建网络套接字。
android.permission.ACCESS_NETWORK_STATE 普通 获取网络状态 允许应用程序查看所有网络的状态。
android.permission.ACCESS_WIFI_STATE 普通 查看Wi-Fi状态 允许应用程序查看有关Wi-Fi状态的信息。

证书安全分析

高危
0
警告
1
信息
1
标题 严重程度 描述信息
已签名应用 信息 应用程序使用代码签名证书进行签名

MANIFEST分析

高危
0
警告
0
信息
0
屏蔽
0
序号 问题 严重程度 描述信息 操作

可浏览的Activity组件

ACTIVITY INTENT

网络通信安全

序号 范围 严重级别 描述

API调用分析

API功能 源码文件
一般功能-> 获取系统服务(getSystemService) com/reactnativecommunity/netinfo/ConnectivityReceiver.java
com/swmansion/rnscreens/ScreenContainer.java
一般功能-> 文件操作
调用java反射机制 com/reactcommunity/rndatetimepicker/RNDismissableDatePickerDialog.java
com/reactcommunity/rndatetimepicker/RNDismissableTimePickerDialog.java
com/reactcommunity/rndatetimepicker/ReflectionHelper.java
一般功能-> IPC通信
一般功能-> 获取活动网路信息 com/reactnativecommunity/netinfo/BroadcastReceiverConnectivityReceiver.java
组件-> 发送广播 com/reactnativecommunity/netinfo/AmazonFireDeviceConnectivityPoller.java
加密解密-> Base64 加密 com/imagepicker/Utils.java
加密解密-> Base64 解密 com/imagepicker/Utils.java
网络通信-> TCP套接字 com/reactnativecommunity/netinfo/ConnectivityReceiver.java
一般功能-> 获取WiFi相关信息 com/reactnativecommunity/netinfo/ConnectivityReceiver.java
一般功能-> 获取网络接口信息 com/reactnativecommunity/netinfo/ConnectivityReceiver.java
组件-> 启动 Activity com/imagepicker/ImagePickerModule.java

安全漏洞检测

高危
0
警告
1
信息
1
安全
0
屏蔽
0
序号 问题 等级 参考标准 文件位置 操作
1 应用程序记录日志信息,不得记录敏感信息 信息 CWE: CWE-532: 通过日志文件的信息暴露
OWASP MASVS: MSTG-STORAGE-3 		升级会员:解锁高级权限
Suppress the rule android_logging in com.coachaapp Suppress the rule android_logging in com.coachaapp only from these files
2 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 警告 CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
OWASP Top 10: M7: Client Code Quality 		升级会员:解锁高级权限
Suppress the rule android_sql_raw_query in com.coachaapp Suppress the rule android_sql_raw_query in com.coachaapp only from these files

Native库安全分析

No Shared Objects found.
序号 动态库 NX(堆栈禁止执行) PIE STACK CANARY(栈保护) RELRO RPATH(指定SO搜索路径) RUNPATH(指定SO搜索路径) FORTIFY(常用函数加强检查) SYMBOLS STRIPPED(裁剪符号表)

文件分析

序号 问题 文件

行为分析

编号 行为 标签 文件
00009 将游标中的数据放入JSON对象 文件
升级会员:解锁高级权限
00022 从给定的文件绝对路径打开文件 文件
升级会员:解锁高级权限
00013 读取文件并将其放入流中 文件
升级会员:解锁高级权限
00043 计算WiFi信号强度 信息收集
WiFi
升级会员:解锁高级权限

敏感权限分析

恶意软件常用权限 0/30
其它常用权限 3/46
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE

恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。

IP地理位置

恶意域名检测

手机号提取

URL链接分析

URL信息 源码文件
https://my.coacha.app/appwebservices/api/data/ChangePhotoIsoString
https://my.coacha.app/appwebservices/api/data/addmembersmile-winkbaseGetAllKeyschlixbaseGetTaget
http://fb.me/use-check-prop-typeslint-plugin-flowtypeSort
https://coachasupport.zendesk.com/hc/en-us/requests/newBlue%d
https://github.com/mobxjs/mobx/blob/main/packages/mobx/src/errors.tscripts/generate-artifacts.jsortedUniqByheadingetSetOffsetAndForwardRef
https://www.coacha.co.uk/More/Legal/Coacha-privacyRecurringThue2rgb
https://github.com/callstack/react-native-slider-movedispatchExceptionormalizeValueRCTTextInlineImagentoJSHelpercentStringetThenableScreensRCTVirtualTextLocalAPIKeyRG20
https://my.coacha.app/forgot-passwordpress-simpleFuncloneBufferegulargeTitleHideShadowithoutDefaultFocusAndBlurFrom
http://momentjs.com/guides/
https://github.com/calintamas/react-native-toast-message/blob/master/README.mdpickScale
自研引擎-A
https://github.com/software-mansion/react-native-screens/issues/17#issuecomment-424704067
com/swmansion/rnscreens/ScreenFragment.java
https://github.com/software-mansion/react-native-screens/issues/17#issuecomment-424704067
com/swmansion/rnscreens/ScreenStackFragment.java

Firebase配置检测

邮箱地址提取

第三方追踪器

名称 类别 网址

敏感凭证泄露

字符串信息

建议导出为TXT,方便查看。

活动列表

显示 1 个 activities

服务列表

广播接收者列表

内容提供者列表

显示 2 个 providers

第三方SDK

SDK名称 开发者 描述信息
File Provider Android FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。
Jetpack App Startup Google App Startup 库提供了一种直接,高效的方法来在应用程序启动时初始化组件。库开发人员和应用程序开发人员都可以使用 App Startup 来简化启动顺序并显式设置初始化顺序。App Startup 允许您定义共享单个内容提供程序的组件初始化程序,而不必为需要初始化的每个组件定义单独的内容提供程序。这可以大大缩短应用启动时间。

文件列表

    污点分析

    当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……
    规则名称 描述信息 操作
    病毒分析 使用安卓恶意软件常用的API进行污点分析 开始分析  
    漏洞挖掘 漏洞挖掘场景下的污点分析 开始分析  
    隐私合规 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 开始分析  
    密码分析 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 开始分析  
    Callback 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 开始分析