使用洞察仪表板

异常进程活动（SDK）

检测到异常活动。您的设备正在被监控以防攻击。

高

是

-

是

-

ABNORMAL_PROCESS_ACTIVITY, 10

手动

设备

host.process.activity

执行、持久化、影响

无障碍服务激活（仅SDK）

检测到应用启用了无障碍服务。该功能可能被恶意软件滥用以窃取密码或双因素验证码，从而入侵其他敏感应用，甚至允许远程控制设备。

低

-

-

-

-

ACCESSIBILITY_ACTIVE, 177

自动

恶意软件

ACCESSIBILITY_ACTIVE

防御规避、影响

侧载应用无障碍服务激活（仅SDK）

检测到侧载应用启用了无障碍服务。该功能可能被恶意软件滥用以窃取密码或双因素验证码，从而入侵其他敏感应用，甚至允许远程控制设备。

低

-

-

-

-

无障碍服务激活的侧载应用, 190

自动

恶意软件

无障碍服务激活的侧载应用

防御规避, 影响

检测到活跃ADB会话（SDK）

Android调试桥(adb)是高级调试工具，通常用于开发和故障排除期间与设备交互。检测到活跃adb会话，需密切监控。

高

是

-

-

-

活跃ADB会话, 187

自动

设备

活跃ADB会话

执行

被积极利用的Android版本（SDK）

已报告存在高风险漏洞且正被恶意攻击者积极利用。这类漏洞构成即时已知安全威胁，因攻击者已开始利用。必须快速修复被积极利用的漏洞以保护系统和数据。

严重

是

-

-

-

安卓系统活跃漏洞利用, 172

自动

设备

主机.易受攻击的安卓.活跃

执行

被积极利用的iOS版本（SDK）

已报告存在高风险漏洞且正被恶意行为者积极利用。被积极利用的漏洞意味着直接且已知的安全威胁，因为攻击者已在利用这些漏洞。必须迅速解决被积极利用的漏洞，以保护系统和数据免受潜在损害。

严重

-

是

-

-

被积极利用的iOS操作系统，173

自动

设备

主机.易受攻击的iOS.活跃

执行

始终开启的VPN应用设置（SDK）

该设备上已配置某应用为始终开启的VPN。该应用可能监控设备与互联网的所有通信。

较高

是

-

是

-

始终开启的VPN应用设置，87

自动

设备

主机.始终开启的vpn应用

收集、外泄、网络影响

安卓应用容器（SDK）

检测到应用克隆环境。这可能被视为规避公司安全策略的技术手段。

较高

是

-

-

-

ANDROID_APP_CONTAINER, 169

自动

设备

安卓应用容器

防御规避

安卓定制ROM（SDK）

在移动设备上使用定制ROM会使用户面临重大安全风险。与厂商官方固件不同，定制ROM通常缺乏严格的安全测试和更新，可能导致后门漏洞、未修补的漏洞利用和恶意代码等问题。此外，定制ROM会破坏设备完整性，使攻击者更容易获取敏感信息。用户还可能错过关键安全补丁，增加遭受网络威胁利用的可能性。

高

是

-

-

-

ANDROID_CUSTOM_ROM, 203

自动

设备

ANDROID_CUSTOM_ROM

-

安卓调试桥（ADB）未验证应用（SDK）

通过ADB安装的应用无需经过验证，这可能导致恶意应用被安装到设备上。

高

是

-

是

-

ANDROID_DEBUG_BRIDGE_APPS_NOT_VERIFIED, 85

自动

设备

主机.adb应用未验证

初始访问、权限提升、持久化、凭据访问、横向移动、数据收集、数据渗出

Android调试桥(ADB)Wi-Fi已启用(SDK)

无线开发者选项是专为开发目的设计的高级配置选项。启用后，用户可远程修改高级设置而无需物理连接设备，这会危及设备设置的完整性。

高

是

-

-

-

WIFI调试开启,156

手动

设备

主机.wifi调试

初始访问、影响

Android设备-未通过Google兼容性测试(SDK)

该Android设备的配置文件与所有通过Google安卓兼容性测试的设备均不匹配。

低

是

-

-

-

ANDROID兼容性测试,70

自动

设备

主机.SafetyNet认证.cts配置文件匹配-假

初始访问、影响

Android设备-可能被篡改(SDK)

该Android设备可能存在篡改痕迹。

严重

是

-

是

-

ANDROID_BASIC_INTEGRITY, 71

自动

设备

host.SafetyNetAttestation.basicintegrity-false

执行、持久化、权限提升、影响

未安装Android设备策略(SDK)

未安装Android设备策略。点击下方启用按钮以修复该问题。

高

是

-

-

-

AMAPI_NOT_ENABLED, 216

自动

设备

AMAPI_NOT_ENABLED

-

应用调试已启用(SDK)

启用调试的应用可能存在风险，攻击者可借此控制并操纵底层应用功能。

高

是

-

-

-

DEBUG_ENABLED_APK, 103

自动

设备

host.app_debug_enabled

持久性、影响、收集

应用完整性检查失败（仅限SDK）

运行时对应用程序代码的修改与篡改、调试或插桩行为相关。该完整性违规表明存在活跃的逆向工程威胁，其中

严重

-

-

-

-

SIGNATURE_CHECK_FAILED, 194

自动

设备

签名检查失败

初始访问、防御规避

应用待激活

移动威胁防御（ GravityZone MTD ）应用的激活未完成。通知邮件：表示服务器检测到威胁并发送通知（邮件），但未在应用内显示设备警报。

低

是

是

是

-

DEVICE_PENDING_ACTIVATION, 200

自动

设备

host.device_pending_activation

-

应用运行在模拟器上（SDK）

在模拟器上运行的应用程序可能构成风险，使攻击者能够控制和操纵底层操作系统环境。

严重

是

是

-

-

DEVICE_EMULATOR, 104

自动

设备

host.device_emulator

发现、收集

应用程序篡改（SDK）

现有应用程序库可能已被修改，或可能有外部库被注入到应用程序中。

严重

是

是

是

-

APP_TAMPERING, 75

自动

设备

host.app_tampering

执行、持久化、权限提升、防御规避

已启用苹果批准的市场（SDK）

设备上已启用苹果批准的市场。利用苹果批准的市场安装非直接来自苹果应用商店的应用程序可能会使设备面临风险。

较高

-

是

-

-

第三方应用商店, 196

自动

设备

第三方应用商店

-

ARP扫描 (SDK)

利用ARP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

ARP扫描, 3

自动

网络

网络扫描.ARP

网络影响、发现、收集

需电池权限

该应用需要电池优化权限以保持后台运行时持续活跃，确保设备获得不间断保护。

较高

是

-

-

-

电池权限要求, 144

自动

设备

电池权限要求

-

BlueBorne漏洞 (SDK)

该设备存在BlueBorne攻击漏洞，攻击者可利用蓝牙连接渗透并控制目标设备。为避免BlueBorne风险，用户需永久关闭蓝牙功能，直至设备制造商或无线运营商提供更新补丁。仍需使用蓝牙功能的用户，建议仅在可信安全区域临时开启蓝牙，使用后立即关闭。

高危

是

-

是

-

BLUEBORNE_VULNERABLE, 69

自动

设备

host.blueborne_vulnerability

初始访问、远程服务影响

需要蓝牙权限

应用需要蓝牙权限来检测可能追踪设备位置的未知标签追踪器。

高危

是

-

-

-

BLUETOOTH_PERMISSION_REQUIRED, 148

自动

设备

BLUETOOTH_PERMISSION_REQUIRED, 148

-

强制门户（SDK）

强制门户网络通过单一代理（门户）路由流量，可能导致流量被监控。

普通

是

是

是

-

强制门户, 67

自动

网络

network.captive_portal

网络效应, 初始访问

蜂窝网络拦截 (SDK)

检测到您的蜂窝网络存在流量拦截行为。这可能是由您的运营商实施的可疑操作，也可能是第三方攻击者入侵运营商网络或使用硬件无线电设备所为。您的设备与互联网服务之间的通信流量已被篡改。

高危

是

是

-

-

蜂窝网络拦截, 175

自动

网络

network.mitm.cellular_interception

-

蜂窝网络变更 (SDK)

蜂窝网络服务提供商已变更。

正常

是

是

-

-

蜂窝网络变更, 167

-

网络

蜂窝网络变更

-

系统库变更 (SDK)

操作系统系统库已被修改。系统库的变更通常仅伴随操作系统更新发生，若发现异常变更应予以调查。

高

是

是

-

-

系统库变更, 166

自动

设备

系统库变更

持久化、权限提升、防御规避

被间谍软件(SDK)入侵

该设备已感染恶意间谍软件。此类恶意软件旨在未经用户同意的情况下监控设备、收集信息并传输至未知服务器。

严重

-

是

-

-

飞马, 130

自动

设备

主机.飞马

初始访问、命令与控制

网络入侵(SDK)

威胁模式表明设备已接入受入侵网络。设备敏感数据可能被截获，并受到未授权方的监控或篡改。此类型为复合型威胁。

严重

是

是

是

-

网络入侵, 125

自动

网络

pattern.compromised_network

初始访问、收集、外泄、网络影响

与关键苹果服务的通信失败

与关键苹果服务的通信失败。这些服务对维护苹果设备的功能和安全性至关重要。

高

是

关键苹果服务, 218

自动

网络

关键苹果服务

检测到崩溃日志异常 - 非系统进程 (SDK)

非系统进程异常崩溃并不常见，可能是设备上发生更严重问题的迹象，应尽快调查。

高

-

是

-

-

用户进程崩溃, 208

自动

设备

用户进程崩溃

-

检测到崩溃日志异常 - 系统进程 (SDK)

系统进程异常崩溃并不常见，可能是设备上发生更严重问题的迹象，应尽快调查。

高

-

是

-

-

系统进程崩溃，207

自动

设备

系统进程崩溃

-

守护进程异常（SDK）

守护进程异常表明系统进程活动异常，可能意味着设备已被入侵。 注：需使用高级Knox MTD功能。

低

是

-

-

-

守护进程异常，43

自动

设备

host.daemon_anomaly

持久化、权限提升、执行

连接危险区域

设备连接至曾观测到恶意攻击的Wi-Fi网络。

低

是

是

是

-

危险区域已连接，79

自动

网络

network.danger_zone_connected

初始访问，网络效应

附近危险区域 - 已弃用

该设备附近存在曾观测到恶意攻击的Wi-Fi网络。

正常

是

是

是

-

危险区域附近, 80

自动

网络

网络.附近危险区域

初始访问，网络效应

检测未激活 - 已弃用

移动威胁检测未激活。应用或VPN均未启用任何检测方法。

较高

是

是

是

-

检测未激活, 1007

自动

设备

主机.检测未激活

-

检测待激活 - 已弃用

GravityZone MTD 检测功能待激活。

低

是

是

是

-

检测待激活, 1006

自动

设备

主机.检测待激活

-

开发者选项（SDK）

开发者选项是专为开发目的设计的高级配置选项。启用后，用户可修改高级设置，可能影响设备设置的完整性。

低

是

是

是

-

开发者选项开启, 47

自动

设备

主机.开发者选项

影响

三星Knox需设备管理员权限

该应用需要设备管理员权限以启用三星Knox功能，保护设备免受移动威胁。

高

是

-

-

-

需设备管理员权限, 147

自动

设备

需要设备管理员权限

-

设备因iOS恶意配置文件受损（SDK）

该设备遭到复杂的攻击链入侵，始于恶意iOS配置文件并最终导致设备被攻陷。类型为复合型。

严重

-

是

-

-

设备因iOS恶意配置文件受损，124

手动

设备

pattern.device_compromised_via_ios_malicious_profile

初始访问、执行、持久化、权限提升、凭据访问、收集、外泄、影响

设备因恶意应用程序受损（SDK）

该设备遭到复杂的攻击链入侵，始于恶意应用程序并最终导致设备被攻陷。类型为复合型。

严重

是

是

是

-

设备因恶意应用程序受损，122

手动或自动

设备

pattern.device_compromised_via_malicious_app

初始访问、执行、持久化、权限提升、凭据访问、收集、外泄、影响

设备因网络攻击效应受损（SDK）

该设备遭到复杂的攻击链入侵，始于网络层面并最终导致设备被攻陷。类型为复合型。

严重

是

是

是

-

设备因基于网络的攻击而受损，121

手动

网络

模式.设备因基于网络的攻击而受损

初始访问、执行、持久化、权限提升、凭据访问、收集、外泄、影响、网络效应

设备因钓鱼攻击而受损

该设备因始于钓鱼威胁的复杂杀伤链攻击而受损，最终导致设备被控制。类型为复合型。[f]

严重

是

是

是

-

设备因钓鱼攻击而受损，123

手动

网络

模式.设备因钓鱼攻击而受损

初始访问、执行、持久化、权限提升、凭据访问、影响、网络效应

设备加密（SDK）

设备未启用加密功能，需设置加密以保护设备内容安全。

较高

是

--

-

-

未启用加密，49

自动

设备

主机加密

影响

设备未通过基本完整性检查（SDK）

该设备可能不符合Android兼容性要求，可能未获准运行Google Play服务。

严重

是

-

-

-

PLAY_INTEGRITY_BASIC, 180

自动

设备

PLAY_INTEGRITY_BASIC

-

设备未通过完整性检查（SDK）

该设备可能不符合Android兼容性要求，可能未获准运行Google Play服务。

较高

是

-

-

-

PLAY_INTEGRITY, 178

自动

设备

PLAY_INTEGRITY

-

设备未通过强完整性检查（SDK）

该设备可能未通过系统完整性检查或不符合Android兼容性要求。

低

是

-

-

-

PLAY_INTEGRITY_STRONG, 179

自动

设备

PLAY_INTEGRITY_STRONG

-

设备越狱/已Root（SDK）

越狱和Root是获取系统未授权访问或提升权限的过程。这些操作可能暴露潜在的安全漏洞，或破坏设备内置的安全防护机制。

严重

是

是

是

-

DEVICE_ROOTED, 39

自动

设备

host.jailbroken

执行、持久化、权限提升

设备PIN码（SDK）

该设备未设置使用PIN码或密码来控制访问权限。

较高

是

是

-

-

PASSCODE_NOT_ENABLED, 50

自动

设备

主机.pin

影响

DNS变更（SDK）- 已弃用

移动设备上的DNS配置发生变更。若DNS变更是由您自身网络内指向未知DNS服务器，则可能为中间人攻击尝试。注：此威胁已弃用。[l]

正常

是

-

是

-

DNS变更, 17

自动

网络

主机.配置.dns

初始访问, 网络影响

权限提升（EOP）（SDK）

导致移动设备权限提升的恶意进程可使攻击者完全控制设备。

高

是

是

-

-

ROOT权限运行, 12

手动

设备

主机.进程.eop

持久化, 权限提升, 执行

启用零接触激活权限

当使用零接触激活时，此威胁将显示用户尚未授予应用程序正常运行所需的权限。

高

是

是

-

-

启用权限, 192

自动

设备

启用权限

-

通过ADB向敏感目录推送文件（SDK）

Android调试桥（adb）是常用于开发和故障排除的高级调试工具。在活跃的adb会话期间，有文件被上传至设备敏感目录，若非处于主动开发或事件排查阶段，此行为异常且存在风险。

高

是

-

-

-

ADB推送文件, 186

自动

设备

ADB推送文件

收集、执行

文件系统变更 (SDK)

检测到文件系统变更。文件系统中的修改有时可能引发恶意事件。

高

是

是

是

-

文件系统变更，23

手动

设备

主机进程.文件系统变更

持久化，影响

文件系统挂载点变更（SDK）

文件系统挂载变更通常是设备正常行为的一部分，但也可能是设备遭受攻击的表现。单独来看这属于正常/低风险行为，但受影响设备应持续监控是否存在威胁。

高危

是

是

是

-

文件系统变更，23

手动

设备

主机.文件系统挂载点变更

-

网关变更（SDK）- 已弃用

移动设备网关配置变更可能意味着流量被发送至非预期目的地。

正常

是

-

-

-

网关变更，16

自动

网络

主机配置.网关

初始访问，网络影响

Google Play保护机制已禁用（SDK）

该设备已禁用Google Play保护功能。Google Play保护机制有助于防范恶意应用，需重新启用。

高

是

-

是

-

GOOGLE_PLAY_PROTECT_DISABLED, 84

自动

设备

host.config.google_play_protect_disabled

初始访问, 影响

黑客工具（SDK）

黑客工具是专门设计用于有意修改或绕过设备、操作系统或应用程序标准运行的程序或实用工具。虽然黑客工具具有调试、测试和性能监控等合法用途，但也可能被恶意利用，对设备及设备数据构成重大风险。

低

是

-

-

-

HACKING_TOOLS, 188

自动

设备

HACKING_TOOLS

防御规避

高风险浏览器扩展

检测到一个Chrome扩展程序存在隐私和/或安全隐患，可能导致个人及机密信息面临风险。

高

-

-

-

是

高风险浏览器扩展, 1004

自动

恶意软件

chromeos.extension.high_risk

持久化、凭证窃取、信息探测、数据收集、代码执行

高风险欺诈设备（仅限SDK）

检测引擎发现该交易设备可能已遭入侵的迹象。这些迹象包括应用程序被授予过度的远程控制权限，这会显著增加设备上发生未授权活动的风险。

严重

-

-

-

-

高风险欺诈设备, 195

自动

设备

高风险欺诈设备

影响、命令与控制

非活跃应用

该应用长时间未与服务器通信。通知邮箱：[c]

较高

是

是

是

-

非活跃应用, 100

自动

设备

app.dormant

-

内部网络访问（SDK）- 已弃用

检测到某应用正在连接私有或内部服务器。公开应用程序连接内部服务器的情况并不常见。公开应用连接内部服务器被视为可疑行为，需立即调查，以排查设备可能感染恶意软件的威胁及数据泄露风险。

低

是

-

-

-

INTERNAL_NETWORK_ACCESS, 48

自动

网络

network.internal_network_access

发现、横向移动、收集

iOS快速安全响应可用（SDK）

设备可安装iOS快速安全响应。该响应包含重要安全改进，应尽快安装。

严重

-

是

-

-

IOS_RSR, 164

自动

设备

host.rsr.ios

影响

iOS快捷指令检测已禁用（SDK）

设备未配置检测高风险或恶意iOS快捷指令的功能。必须启用此选项。

较高

-

是

-

-

需要快捷指令，181

自动

设备

需要快捷指令

-

iOS快捷指令检测过时（SDK）

设备上安装的Bitdefender快捷指令已过期。未使用最新版Zimperium快捷指令将导致无法启用最新功能。

高

-

是

-

-

快捷指令过时，201

自动

-

-

-

iTunes WiFi同步已启用（SDK）

该设备配置为通过WiFi连接外部设备并同步数据及备份。

普通

-

是

-

-

WIFI同步已启用，94

自动

设备

主机.itunes.wifi_sync_enabled

影响

IP扫描（SDK）

使用IP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

IP_SCAN, 2

自动

网络

network.scan.ip

初始访问、发现、收集、网络影响

链接验证禁用 - 设备端VPN（SDK）

该设备上使用设备端VPN的链接验证功能已被禁用。

较高

是

是

-

-

LINK_VERIFICATION_DISABLED, 143

自动

设备

LINK_VERIFICATION_DISABLED

-

链接验证禁用 - Safari扩展

该设备上使用Safari浏览器扩展的链接验证功能已被禁用。

较高

-

-

-

-

SAFARI_EXTENSION_DISABLED, 151

自动

网络

network.safari_extension_disabled

-

需获取本地网络访问权限

该应用需要本地网络访问权限，以保护设备免受复杂的基于Wi-Fi的网络攻击。

高

-

是

-

-

LOCAL_NETWORK_PERMISSION_REQUIRED, 149

自动

网络

LOCAL_NETWORK_PERMISSION_REQUIRED

-

需获取位置权限：安卓

该应用需要位置权限以保护设备免受复杂网络攻击。

高

是

-

-

-

LOCATION_PERMISSION_REQUIRED_ANDROID, 145

自动

设备

LOCATION_PERMISSION_REQUIRED_ANDROID

-

需要位置权限：iOS

该应用需要位置权限以便在报告移动威胁时包含位置信息。位置数据可提供附近Wi-Fi风险的实时信息。

高

-

是

-

-

需要iOS位置权限, 146

自动

设备

需要iOS位置权限

-

未启用锁定模式（SDK）

锁定模式是iOS的一项功能，旨在增强设备安全性。建议启用该功能。

高

-

是

-

-

锁定模式未启用, 152

自动

设备

锁定模式未启用

-

发现恶意iOS快捷指令（SDK）

检测到设备上安装了可能恶意的iOS快捷指令。iOS快捷指令可能对您的信息安全构成重大风险。建议检查该快捷指令以确定是否应继续使用。

严重

-

是

-

-

SHORTCUT_SUSPICIOUS, 182

自动

设备

SHORTCUT_SUSPICIOUS

-

中间人攻击（SDK）

发生了中间人攻击，恶意攻击者可劫持流量、窃取凭证并向设备投放恶意软件。

高危

-

是

-

-

TRACEROUTE_MITM, 68

自动

网络

network.mitm

数据收集、外泄、网络影响

中间人攻击-ARP欺骗（SDK）

通过ARP表投毒实施的中间人攻击，恶意攻击者可劫持流量、窃取凭证或向设备投放恶意软件。

高危

是

-

-

-

ARP_MITM, 4

自动

网络

network.mitm.arp

数据收集、外泄、网络影响

中间人攻击 - 伪造SSL证书（SDK）

发生了使用伪造证书的中间人攻击，恶意攻击者可借此劫持流量、窃取凭证并向设备投递恶意软件。

高

是

是

是

-

SSL中间人攻击, 35

自动

网络

网络.中间人攻击.ssl证书

收集、外泄、网络影响

中间人攻击 - 伪造自签名SSL证书（SDK）

发生了使用伪造自签名证书的中间人攻击，恶意攻击者可借此劫持流量、窃取凭证并向设备投递恶意软件。

高

是

是

-

-

自签名SSL中间人攻击, 138

自动

网络

网络.中间人攻击.ssl证书自签名

收集、外泄、网络影响

中间人攻击 - ICMP重定向（SDK）- 已弃用

通过ICMP协议实施的中间人攻击可使恶意攻击者劫持流量、窃取凭证并向设备投递恶意软件。 注：该威胁已弃用。

高

是

-

-

-

ICMP重定向中间人攻击, 11

自动

网络

网络.中间人攻击.icmp

收集、外泄、网络影响

中间人攻击 - SSL剥离(SDK)

通过SSL剥离实施的中间人攻击，使恶意攻击者能够将HTTPS流量降级为HTTP，从而劫持流量、窃取凭证并向设备投递恶意软件。

严重

是

是

是

-

SSL剥离, 14

自动

网络

网络.中间人攻击.ssl剥离

收集、外泄、网络影响

GravityZone移动威胁防护 在工作档案和个人档案中均未激活 - Android企业版

此设备的个人档案和工作档案均未激活移动威胁防护(MTD)应用。请安装并激活 GravityZone移动威胁防护 于两处位置，以确保设备获得全面保护。

较高

是

-

-

-

容器未运行ZIPS, 78

自动

设备

主机.afw_both_profiles_not_activated

-

国家连接异常 - Android

检测到国家连接异常，若该应用通信模式非常规，建议卸载此应用。

正常

是

-

-

-

COUNTRY_CONNECTION_ANOMALY_ANDROID, 213

自动

网络

COUNTRY_CONNECTION_ANOMALY_ANDROID

-

国家连接异常 - iOS

检测到存在潜在风险的国家连接异常，建议执行深度扫描以降低设备风险。

正常

-

是

-

-

COUNTRY_CONNECTION_ANOMALY_IOS, 212

自动

网络

COUNTRY_CONNECTION_ANOMALY_IOS

-

流量峰值网络异常 - Android

检测到网络流量异常，若该应用通信模式非常规，建议卸载此应用。

正常

是

-

-

-

网络流量异常_安卓, 211

自动

网络

网络流量异常_安卓

-

流量峰值网络异常 - iOS

检测到存在潜在风险的网络流量异常。建议运行深度扫描以降低设备风险。

正常

-

是

-

-

网络流量异常_iOS, 210

自动

网络

网络流量异常_iOS

-

网络切换（SDK）- 已弃用

发生网络切换，可能导致设备改变网络路由，存在中间人攻击风险。

是

-

-

-

-

网络切换, 36

自动

网络

网络ARP切换

初始接入、网络效应、数据渗出

需要通知权限

应用需要通知权限以便用户接收关于移动安全的设备端警报。

高

是

是

-

-

需要通知权限，150

自动

设备

需要通知权限

-

操作系统不合规 - Android（SDK）

Android版本不符合指定的操作系统合规策略。该设备有可用的Android升级版本。

高

是

-

-

-

Android可升级不合规，161

自动

设备

主机.不合规.Android.可升级

影响

操作系统不合规 - iOS（SDK）

iOS版本不符合指定的操作系统合规策略。该设备有可用的iOS升级版本。

高

是

-

-

-

IOS_OOC_UPGRADABLE, 160

自动

设备

host.ooc.ios.upgradable

影响

操作系统不合规且不可升级 - Android (SDK)

该Android版本不符合指定的操作系统合规策略。该设备无可用Android升级版本。

高

是

-

-

-

ANDROID_OOC_NONUPGRADABLE, 163

自动

设备

host.ooc.android.nonupgradable

影响

操作系统不合规且不可升级 - iOS (SDK)

该iOS版本不符合指定的操作系统合规策略。该设备无可用iOS升级版本。

高

-

是

-

-

IOS_OOC_NONUPGRADABLE, 162

自动

设备

主机.ooc.ios.不可升级

影响

可用操作系统升级 - Android (SDK)

设备安装的Android版本不是最新的。新Android版本通常包含安全修复。

高

是

-

-

-

ANDROID_过时, 159

自动

设备

主机.过时.android

影响

可用操作系统升级 - iOS (SDK)

设备安装的iOS版本不是最新的。新iOS版本通常包含安全修复。

高

是

-

-

-

IOS_过时, 158

自动

设备

主机.过时.ios

影响

不合规应用 (SDK)

设备上发现一个或多个被标记为不合规的应用。

高

是

是

是

不合规应用, 93

自动

恶意软件

主机.应用不合规

数据外泄、收集、影响

不合规浏览器扩展

检测到Chrome扩展程序不符合组织策略要求。建议从Chrome浏览器中移除该扩展。

高

-

-

-

是

不合规浏览器扩展, 1003

自动

应用

chromeos.extension.不合规

持久化、凭据访问、发现、收集、执行

无线(OTA)更新已禁用(SDK)

此设备已禁用无线(OTA)更新功能。OTA更新可确保设备软件保持最新状态并提升安全性。

低

是

-

是

-

无线更新已禁用, 86

自动

设备

主机.OTA更新已禁用

影响

钓鱼PDF文件(SDK)

在PDF文件中检测到潜在恶意URL

高

是

-

-

-

钓鱼PDF文档,184

自动

设备

钓鱼PDF文档

初始访问、持久化、凭据访问、影响、收集、外泄、执行

钓鱼防护-链接点击

设备上点击了潜在恶意的网站地址(URL)链接

高

是

是

是

是

恶意网站,9

自动

设备

主机.站点洞察.链接点击

初始访问、凭据访问、网络效应

钓鱼防护-链接访问

用户在设备上点击了潜在恶意URL。系统已警告该链接网站可能存在危险，但用户仍选择在警告后继续访问网站

高

是

是

是

是

恶意网站已打开, 72

自动

设备

主机.站点洞察.链接访问

初始访问、凭证访问、网络效应、执行、权限提升

代理更改(SDK)

移动设备上的代理配置变更可能意味着流量被导向非预期目的地。

低

是

-

-

-

代理变更, 15

手动

网络

主机.配置.代理

初始访问、网络效应、数据渗出

受保护应用旁加载(SDK)

该受保护应用正使用非可信安装方式（如非官方应用商店），存在应用被篡改可能，可能包含恶意代码或出现异常行为。

高

是

是

-

-

197, 受保护应用被侧载

手动

恶意软件

受保护应用被侧载

初始访问、持久化、数据收集、数据渗出

受保护应用在不支持的设备上运行（SDK）

该检测用于识别iOS应用在未经批准的设备（如M1 Mac）上安装（并执行）的情况。在不支持的设备上运行应用会增加敏感数据被未授权访问的风险，并可能使应用面临逆向工程、数据泄露及其他恶意活动的威胁。

低

是

应用在不支持的设备上运行, 215

自动

设备

应用在不支持的设备上运行

设备重启提醒（SDK）

提醒定期重启设备。定期重启设备有助于保持最佳性能，是推荐的安全最佳实践。

低

是

是

-

-

设备重启提醒, 193

自动

设备

设备重启提醒

持久化

发现高风险iOS快捷指令（SDK）

检测到设备上安装了潜在高风险的iOS快捷指令。iOS快捷指令可能对您的信息安全构成重大威胁。建议审查该快捷指令以确定是否应继续使用。

-

是

-

-

-

高风险快捷指令, 183

自动

设备

高风险快捷指令

-

风险网站已拦截

设备上检测到潜在恶意网站链接(URL)已被拦截。[j]

高危

是

是

是

是

恶意网站拦截, 137

自动

设备

内容过滤.恶意网站拦截

初始访问

风险网站 - 链接点击

设备上检测到潜在恶意网站链接(URL)被点击。[j]

高危

是

是

是

是

恶意网站点击, 135

自动

设备

内容过滤器.恶意网站点击

初始访问

风险网站 - 链接访问

用户点击了设备上可能恶意的链接。系统已警告该链接网站存在潜在危险，但用户仍选择在警告后继续访问该网站。[j]

严重

是

是

是

是

恶意网站访问, 136

自动

设备

内容过滤器.恶意网站访问

初始访问

恶意热点（SDK）

恶意热点通过伪装首选和已知网络，利用设备漏洞连接至先前已知的Wi-Fi网络。

严重

是

是

是

-

恶意热点, 38

自动

网络

网络.中间人攻击.恶意热点

网络影响、初始访问、凭据访问

恶意热点：附近（SDK）

恶意热点通过伪装首选和已知网络，利用设备漏洞连接至先前已知的Wi-Fi网络。

高

是

-

是

-

附近存在恶意热点, 65

自动

网络

网络.mitm.恶意热点_附近

初始访问, 网络效应

检测到屏幕捕获（仅限SDK）

移动设备上的屏幕捕获存在泄露敏感信息的风险，因为截图可能被轻易分享、同步至云服务或在设备遭入侵时被访问。 恶意软件可利用屏幕捕获从安全应用中窃取数据，可能导致受监管行业出现合规违规问题。

高

-

-

-

-

屏幕捕获, 214

自动

设备

屏幕捕获

收集

屏幕共享活跃（仅限SDK）

屏幕共享存在潜在安全风险。应用屏幕可能泄露敏感信息。恶意软件可能利用此功能远程控制受害者设备。

高

-

-

-

-

屏幕共享_活跃, 176

设备

屏幕共享已激活

-

疑似屏幕共享（仅限SDK）

屏幕共享存在潜在安全风险。敏感信息可能通过应用屏幕泄露。许多恶意软件会利用此功能远程控制受害者设备。

高危

-

-

-

-

SCREENSHARE_SUSPECTED, 191

自动

设备

疑似屏幕共享

-

SELinux已禁用（SDK）

安全增强型Linux（SELinux）是操作系统中维护系统完整性的安全功能。若SELinux被禁用，操作系统完整性可能受损，应立即调查。

严重

是

-

-

-

SELINUX_DISABLED, 61

自动

设备

host.selinux.disabled

-

通过ADB从设备下载敏感文件（SDK）

Android调试桥(adb)是一种高级调试工具，通常用于开发和故障排除阶段。在活跃的adb会话期间，从设备下载了敏感文件，暴露了设备或用户敏感信息可能丢失的风险。

高

是

-

-

-

通过ADB提取文件, 185

设备

通过ADB提取文件

收集, 执行

从高风险应用商店侧载应用(SDK)

检测到使用拒绝列表证书签名的侧载应用。这些证书可用于在第三方应用商店签署恶意应用。

严重

-

是

-

-

黑名单证书, 155

自动

设备

黑名单证书

-

侧载应用(SDK)

侧载应用是独立于官方应用商店安装的，可能带来安全风险。

高

是

是

是

-

侧载应用, 76

自动

恶意软件

host.sideloaded_app

初始访问、收集、外泄、持久化

侧载浏览器扩展

检测到非官方应用商店安装的侧载扩展程序。此类扩展及其开发者可能未经验证，存在安全隐患。

高危

-

-

-

是

侧载浏览器扩展, 1005

自动

应用

chromeos.extension.sideloaded

持久化、凭据访问、发现、收集、执行

高风险侧载恶意软件 (仅限SDK)

已知恶意应用试图通过提权或间谍软件等方式控制设备。该恶意软件通过非官方商店安装。

严重

-

-

-

-

高风险侧载恶意软件, 170

自动

恶意软件

host.app.malicious.risky

初始访问、持久化、凭据访问、影响、收集、外泄、执行

SIM卡变更（SDK）

唯一标识设备或SIM卡状态（例如停用）的SIM（用户身份模块）卡已发生变更。SIM卡存储着设备和用户的敏感信息。未经知晓或同意擅自更改SIM卡存在潜在风险，应予以调查。

正常

是

-

-

-

SIM变更, 168

自动

设备

SIM变更

初始访问

网站被拦截

用户点击了未经组织批准的网站内容，该网站已被拦截。[j]

较高

是

是

是

是

网站被拦截, 134

自动

设备

内容过滤.拦截

初始访问

网站警告 - 链接被点击

设备上点击了未经组织批准的网站内容。[j]

较高

是

是

是

是

网站点击事件, 132

自动

设备

内容过滤.网站点击

初始访问

网站警告 - 链接访问

用户点击了未经组织批准的网站内容。系统已警告该网站内容不符合组织政策，但用户在警告后仍选择继续访问。[j]

高

是

是

是

是

网站访问事件, 133

自动

设备

内容过滤.网站访问

初始访问

SSL/TLS降级 (SDK) - 已弃用

SSL/TLS降级会强制应用使用旧版加密协议。这些协议可能存在漏洞，导致第三方可查看加密信息。 注：该威胁已弃用。

低

是

是

-

-

TLS降级事件, 77

自动

网络

网络.ssl_tls降级

影响, 网络效应

Stagefright漏洞（SDK）- 已弃用

Stagefright漏洞表明设备操作系统补丁版本存在被攻击风险。

高

是

-

是

-

STAGEFRIGHT_VULNERABLE, 40

自动

设备

host.mediaserver.sf_vulnerability

影响

需要存储权限

应用需要存储权限以扫描设备本地存储，识别可能窃取个人或敏感信息的高风险或恶意应用。

高

是

-

-

-

STORAGE_PERMISSION_REQUIRED, 142

自动

设备

STORAGE_PERMISSION_REQUIRED

-

疑似侧载iOS应用（SDK）

检测到设备上存在疑似未通过苹果官方应用商店分发的iOS应用。用户需运行深度扫描以确认该侧载应用。

高

-

是

-

-

疑似旁加载应用, 205

自动

恶意软件

疑似旁加载应用

-

可疑安卓应用（SDK）

检测到已知恶意应用试图以某种方式控制设备，如权限提升或间谍软件行为。

严重

是

-

-

-

可疑APK文件, 13

自动

恶意软件

宿主应用含恶意代码

初始访问、持久化、数据渗出、破坏性行为、凭据访问、执行、信息收集

2.7.127 可疑APK文件（SDK）

APK文件中存在有害代码或行为，表明检测到潜在威胁。

高危

是

-

-

-

恶意APK文件, 206

自动

恶意软件

恶意APK文件

初始访问、持久化、破坏性行为、信息收集、数据渗出、执行

可疑浏览器扩展

检测到不安全的扩展程序。强烈建议立即移除该扩展。

严重

-

-

-

是

可疑浏览器扩展, 1002

自动

应用

chromeos.extension.suspicious

持久化、凭证访问、发现、收集、执行

可疑iOS应用

检测到已知恶意应用，该应用可能试图以某种方式控制设备，例如提权或间谍软件。

严重

-

是

-

-

可疑IPA文件, 42

自动

应用

host.ipa.malicious

初始访问、持久化、数据外泄、影响、凭证访问、执行、收集

可疑PDF文件（SDK）

PDF文件中含有有害代码或行为，表明检测到潜在威胁。

高危

是

-

-

-

恶意PDF文档，174

自动

设备

恶意PDF文档

初始访问、持久化、凭据窃取、影响、收集、外泄、执行

可疑配置文件

可疑配置文件是指新引入环境且未明确标记为可信或不可信的配置文件。管理员必须审查该配置文件并将其标记为可信或不可信。

高

-

是

-

-

可疑配置文件，45

自动

设备

主机.配置文件.可疑

初始访问、持久化、外泄、影响、凭据窃取、执行、收集

系统篡改（SDK）

系统篡改是指移除设备制造商设置的安全限制的过程，表明设备已完全被入侵且不再可信。

严重

是

是

是

-

系统篡改，37

手动

设备

主机.系统配置.系统篡改

执行、权限提升、影响

不受信任的配置文件

不受信任的配置文件是指安装在一台或多台设备上且在您的设备上不安全的配置文件。设备上安装的不受信任配置文件可用于远程控制设备、监控和操作用户活动，以及劫持用户流量。

严重

-

是

-

-

UNTRUSTED_PROFILE, 24

自动

设备

host.profile.untrusted

初始访问、持久化、数据渗出、影响、凭据访问、执行、收集

检测到标签追踪器（SDK）

检测到标签追踪器。该标签可能正在追踪用户位置。若用户不知情，应停用此标签。

较高

是

-

-

-

TAG_TRACKER_DETECTED, 141

自动

设备

TAG_TRACKER_DETECTED

-

已安装TestFlight应用

检测到TestFlight安装。TestFlight是苹果提供的服务，允许开发者在公开发布前向测试人员分发和测试应用程序。开发者广泛使用TestFlight确保应用在公开发布前稳定完善。

普通

-

是

-

-

TESTFLIGHT_INSTALLED, 209

自动

恶意软件

TESTFLIGHT_INSTALLED

-

TCP扫描（SDK）

使用TCP协议的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

TCP_SCAN, 0

自动

网络

network.scan.tcp

初始访问、侦察、收集、网络影响

UDP扫描（SDK）- 已弃用

使用UDP协议的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

UDP_SCAN, 1

自动

网络

network.scan.udp

初始访问、侦察、收集、网络影响

允许未知来源安装（SDK）

设备允许从Google Play商店以外的来源下载应用。

高

是

-

是

-

UNKNOWN_SOURCES_ON, 25

自动

设备

host.config.unknown_sources

影响, 初始访问

已解锁Bootloader（SDK）

设备引导加载程序已解锁。引导加载程序是管理设备启动流程并维护设备完整性的系统级工具。 解锁引导加载程序会通过允许特殊系统级访问来安装非标准软件和应用，从而破坏设备完整性， 增加设备及设备数据的安全风险。

高

是

-

-

-

BOOTLOADER_UNLOCKED, 165

自动

设备

BOOTLOADER_UNLOCKED

初始访问, 持久化, 权限提升, 防御规避, 执行

未扫描文件（SDK）

未扫描文件存在潜在风险。建议立即恢复扫描。

高

是

是

-

-

未扫描的PDF文件，189

自动

设备

未扫描的PDF文件

不安全的Wi-Fi网络（SDK）

检测到连接至未加密的Wi-Fi网络，此类网络缺乏加密或身份验证协议保护，易受攻击者入侵。

低

是

是

-

-

不安全的Wi-Fi网络，66

自动

网络

network.unsecured_wifi

初始访问、网络影响、数据渗出、信息收集

不可信配置文件

不可信配置文件指安装在一台或多台设备上且存在安全隐患的配置文件。此类配置文件可被用于远程控制设备、监控并操纵用户活动，以及劫持用户流量。

严重

-

是

-

-

不可信配置文件，24

自动

设备

host.profile.untrusted

初始访问、持久化、数据渗出、影响、凭据访问、执行、收集

USB调试模式（SDK）

USB调试是一种仅用于开发目的的高级配置选项。启用USB调试后，您的设备在接入USB连接时可以从计算机接收命令。

高

是

-

-

-

USB_DEBUGGING_ON, 44

自动

设备

host.usb.debugging

影响、初始访问

VPN连接激活（SDK）

VPN连接处于活跃状态。VPN可用于操纵设备地理位置，并可能被欺诈者用作非法交易中掩盖实际位置的危险信号。

低

是

是

-

-

VPN_ACTIVE, 204

自动

网络

VPN_ACTIVE

横向移动、命令与控制

需VPN权限 - 安全网页

需要VPN权限以保护设备免受风险网站侵害。

高

是

是

-

-

VPN权限要求-安全网页, 153

自动

设备

VPN权限要求-安全网页

-

VPN权限要求-安全Wi-Fi

该应用需要VPN权限以在恶意网络攻击发生时保护网络数据。

高

是

是

-

-

VPN权限要求-安全Wi-Fi, 154

自动

网络

VPN权限要求-安全Wi-Fi

-

存在漏洞的Android版本(SDK)

设备安装的Android版本存在一个或多个严重漏洞且未更新。过时的操作系统使设备暴露于已知漏洞及被恶意攻击者利用的威胁中。应立即更新Android版本。

高

是

-

是

-

ANDROID未更新, 51

自动

设备

host.vulnerable.android

影响

易受攻击的iOS版本（SDK）

设备安装的iOS版本存在一个或多个严重漏洞且未更新。过时的操作系统使设备暴露于已知漏洞及恶意攻击者利用的威胁中。应立即更新iOS版本。

高

-

是

-

-

IOS_NOT_UPDATED, 52

自动

设备

host.vulnerable.ios

影响

易受攻击且无法升级的Android版本（SDK）

设备正在运行存在漏洞的Android版本，但当前无法进行操作系统升级。

低

是

-

是

-

VULNERABLE_NON_UPGRADEABLE_ANDROID_VERSION, 89

自动

设备

android_not_updated_unupgradable

影响

易受攻击且无法升级的iOS版本（SDK）

设备正在运行存在漏洞的iOS版本，但当前无法进行操作系统升级。

低

-

是

-

-

不可升级的iOS漏洞版本, 88

自动

设备

host.vulnerable.ios.non-upgradeable

影响