使用洞察仪表板

异常进程活动(SDK)

检测到异常活动，设备正在监控是否遭受攻击。

权限提升

是

-

是

-

异常进程活动, 10

手动

设备

主机进程活动

执行、持久化、影响

无障碍服务激活（仅限SDK）

检测到应用启用了无障碍服务。该功能可能被恶意软件滥用于窃取密码或双因素认证码，从而入侵其他敏感应用，甚至允许远程控制设备。

低

-

-

-

-

无障碍服务激活, 177

自动

恶意软件

无障碍服务激活

防御规避、影响

无障碍服务激活 - 侧载应用（仅限SDK）

检测到侧载应用启用了无障碍服务。该功能可能被恶意软件滥用于窃取密码或双因素认证码，从而入侵其他敏感应用，甚至允许远程控制设备。

低

-

-

-

-

无障碍服务激活_侧载应用, 190

自动

恶意软件

活跃的辅助功能旁加载

防御规避、影响

检测到活跃的ADB会话（SDK）

Android Debug Bridge (adb) 是一种高级调试工具，通常用于开发和故障排除期间与设备交互。检测到活跃的adb会话，应密切监控。

高

是

-

-

-

活跃ADB会话, 187

自动

设备

活跃ADB会话

执行

被积极利用的Android版本（SDK）

已报告存在高风险漏洞且正被恶意行为者积极利用。被积极利用的漏洞意味着直接且已知的安全威胁，因为攻击者已在利用它们。必须快速修复这些漏洞以保护系统和数据免受潜在危害。

严重

是

-

-

-

活跃漏洞利用_安卓系统, 172

自动

设备

主机.脆弱性.安卓.活跃

执行

被积极利用的iOS版本（SDK）

已报告存在高风险漏洞且正被恶意行为者积极利用。被积极利用的漏洞意味着直接且已知的安全威胁，因为攻击者已在利用它们。必须快速修复这些漏洞以保护系统和数据免受潜在危害。

严重

-

是

-

-

ACTIVE_EXPLOIT_OS_IOS, 173

自动

设备

host.vulnerable.ios.active

执行

始终开启的VPN应用设置（SDK）

该设备上已配置某应用为始终开启的VPN。该应用可能监控设备与互联网的所有通信。

高危

是

-

是

-

ALWAYS_ON_VPN_APP_SET, 87

自动

设备

host.always_on_vpn_app

收集、外泄、网络影响

安卓应用容器（SDK）

检测到应用克隆环境。这可能被视为规避公司安全策略的技术手段。

高危

是

-

-

-

ANDROID_APP_CONTAINER, 169

自动

设备

安卓应用容器

防御规避

安卓定制ROM（SDK）

在移动设备上使用定制ROM会使用户面临重大安全风险。与厂商官方固件不同，定制ROM通常缺乏严格的安全测试和更新机制，可能导致后门漏洞、未修补的漏洞利用和恶意代码等问题。此外，定制ROM会破坏设备完整性，使攻击者更容易获取敏感信息。用户还可能错过关键安全补丁，增加被网络威胁利用的可能性。

高

是

-

-

-

ANDROID_CUSTOM_ROM, 203

自动

设备

ANDROID_CUSTOM_ROM

-

安卓调试桥（ADB）未验证应用（SDK）

通过ADB安装的应用无需经过验证，这可能导致恶意应用被安装到设备上。

高

是

-

是

-

ANDROID_DEBUG_BRIDGE_APPS_NOT_VERIFIED, 85

自动

设备

host.adb_apps_not_verified

初始访问、权限提升、持久化、凭据窃取、横向移动、数据收集、数据渗出

安卓调试桥（ADB）Wi-Fi启用（SDK）

无线开发者选项是仅用于开发目的的高级配置选项。启用后，用户可在无需物理连接设备的情况下远程修改高级设置，这会破坏设备设置的完整性。

提升权限

是

-

-

-

WIFI_DEBUGGING_ON, 156

手动

设备

host.wifi_debugging

初始访问, 影响

Android设备 - 未通过Google兼容性测试 (SDK)

该Android设备的配置与任何通过Google Android兼容性测试的设备配置不匹配。

低

是

-

-

-

ANDROID_COMPATIBILITY_TESTING, 70

自动

设备

host.SafetyNetAttestation.ctsProfileMatch-false

初始访问, 影响

Android设备 - 可能被篡改 (SDK)

该Android设备可能存在篡改行为。

严重

是

-

是

-

ANDROID_BASIC_INTEGRITY, 71

自动

设备

host.SafetyNetAttestation.basicintegrity-假

执行、持久化、权限提升、影响

未安装Android设备策略（SDK）

未安装Android设备策略。点击下方启用按钮以修复此问题。

高

是

-

-

-

AMAPI未启用，216

自动

设备

AMAPI未启用

-

应用调试已启用（SDK）

启用调试的应用可能存在风险，允许攻击者控制和操纵底层应用功能。

高

是

-

-

-

调试启用的APK，103

自动

设备

host.app_debug_enabled

持久化、影响、收集

应用完整性检查失败（仅限SDK）

运行时对应用程序代码的修改与篡改、调试或插桩相关。此完整性违规表明存在活跃的反向工程威胁

严重

-

-

-

-

签名验证失败, 194

自动

设备

签名验证失败

初始访问, 防御规避

应用待激活

移动威胁防御( GravityZone MTD )应用的激活未完成。通知邮件：表示服务器检测到威胁并发送通知（邮件），但未在应用内显示设备警报。

低

是

是

是

-

设备待激活, 200

自动

设备

host.device_pending_activation

-

应用运行在模拟器中（SDK）

在模拟器中运行的应用可能带来风险，使攻击者能够控制和操纵底层操作系统环境。

严重

是

是

-

-

设备模拟器, 104

自动

设备

host.device_emulator

发现, 收集

应用篡改 (SDK)

现有应用库可能已被修改，或可能有外部库被注入到应用中。

严重

是

是

是

-

应用篡改, 75

自动

设备

host.app_tampering

执行, 持久化, 权限提升, 防御规避

启用苹果官方认证应用商店 (SDK)

设备已启用苹果官方认证的应用商店。通过苹果官方认证的应用商店安装非苹果应用商店直接提供的应用可能会使设备面临风险。

较高

-

是

-

-

第三方应用商店, 196

自动

设备

第三方应用商店

-

ARP扫描（SDK）

使用ARP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

ARP_SCAN, 3

自动

网络

network.scan.arp

网络影响、发现、收集

需电池优化权限

该应用需获取电池优化权限以保持后台运行时持续活跃，确保设备上持续的保护机制。

高

是

-

-

-

BATTERY_PERMISSION_REQUIRED, 144

自动

设备

BATTERY_PERMISSION_REQUIRED

-

BlueBorne漏洞（SDK）

该设备存在BlueBorne攻击漏洞，攻击者可利用蓝牙连接渗透并控制目标设备。为避免BlueBorne风险，用户需永久关闭蓝牙，直至设备制造商或无线运营商提供更新补丁。仍需使用蓝牙的用户，建议仅在可信安全环境中临时开启蓝牙。

高

是

-

是

-

BLUEBORNE漏洞, 69

自动

设备

主机.blueborne漏洞

初始访问, 远程服务影响

需要蓝牙权限

应用需要蓝牙权限以检测可能追踪设备位置的未知标签追踪器。

高危

是

-

-

-

需要蓝牙权限, 148

自动

设备

需要蓝牙权限, 148

-

强制门户 (SDK)

强制门户网络通过单一代理(门户)路由流量，可能导致流量被监控。

普通

是

是

是

-

强制门户, 67

自动

网络

网络.强制门户

网络影响, 初始访问

蜂窝网络拦截（SDK）

检测到您的蜂窝网络存在流量拦截行为。这可能是由您的运营商实施的异常操作，也可能是第三方攻击者入侵运营商网络或使用硬件无线电设备所为。您的设备与互联网服务之间的通信流量已被篡改。

高危

是

是

-

-

蜂窝网络拦截, 175

自动

网络

网络.中间人攻击.蜂窝拦截

-

蜂窝网络变更（SDK）

蜂窝网络服务提供商已发生变更。

正常

是

是

-

-

蜂窝网络变更, 167

-

网络

蜂窝网络变更

-

系统库文件变更（SDK）

操作系统系统库文件已被修改。系统库文件通常仅在系统更新时才会变更，此异常情况需进一步调查。

高危

是

是

-

-

系统库变更，166

自动

设备

系统库变更

持久化、权限提升、防御规避

被间谍软件（SDK）入侵

该设备已感染恶意间谍软件。此类恶意软件旨在未经用户同意的情况下监控并收集设备信息，并将其转发至未知服务器。

严重

-

是

-

-

飞马，130

自动

设备

host.pegasus

初始访问、命令与控制

受感染网络（SDK）

威胁模式表明设备已接入受感染网络。设备敏感数据可能被截获，并遭未授权方监控或篡改。类型为复合型。

严重

是

是

是

-

受感染网络，125

自动

网络

pattern.compromised_network

初始访问、收集、数据渗出、网络效应

与关键苹果服务的通信失败

与关键苹果服务的通信失败。这些服务在维护苹果设备功能性和安全性方面起着至关重要的作用。

高

是

CRITICAL_APPLE_SERVICES, 218

自动

网络

CRITICAL_APPLE_SERVICES

检测到崩溃日志异常 - 非系统进程 (SDK)

非系统进程异常崩溃并不常见，可能是设备上发生更严重问题的征兆，应尽快调查。

高

-

是

-

-

USER_PROCESS_CRASH, 208

自动

设备

USER_PROCESS_CRASH

-

检测到崩溃日志异常 - 系统进程 (SDK)

系统进程异常崩溃并不常见，可能是设备上发生更严重问题的征兆，应尽快调查。

高

-

是

-

-

SYSTEM_PROCESS_CRASH, 207

自动

设备

系统进程崩溃

-

守护进程异常（SDK）

守护进程异常表明系统进程活动存在异常，可能意味着设备已被利用。 注：需使用高级Knox MTD功能。

低

是

-

-

-

守护进程异常（DAEMON_ANOMALY），43

自动

设备

host.daemon_anomaly

持久化、权限提升、执行

连接危险区域

设备连接至曾观测到恶意攻击的Wi-Fi网络。

低

是

是

是

-

危险区域连接（DANGERZONE_CONNECTED），79

自动

网络

network.danger_zone_connected

初始访问、网络影响

附近危险区域（已弃用）

设备靠近曾观测到恶意攻击的Wi-Fi网络。

正常

是

是

是

-

危险区域临近, 80

自动

网络

network.danger_zone_nearby

初始访问, 网络效应

检测未激活 - 已弃用

移动威胁检测未激活。应用或VPN均未启用任何检测方法。

高

是

是

是

-

检测未激活, 1007

自动

设备

host.detection_inactive

-

检测待激活 - 已弃用

GravityZone MTD 检测功能待激活。

低

是

是

是

-

检测待激活, 1006

自动

设备

host.detection_pending_activation

-

开发者选项（SDK）

开发者选项是仅供开发用途的高级配置选项。启用后，用户可修改高级设置，可能影响设备设置的完整性。

低

是

是

是

-

DEVELOPER_OPTIONS_ON, 47

自动

设备

host.developer_options

影响

三星Knox需设备管理员权限

该应用需要设备管理员权限以启用三星Knox功能，保护设备免受移动威胁。

高

是

-

-

-

DEVICE_ADMIN_PERMISSION_REQUIRED, 147

自动

设备

DEVICE_ADMIN_PERMISSION_REQUIRED

-

设备因iOS恶意配置文件被入侵（SDK）

该设备遭复杂攻击链入侵，始于恶意iOS配置文件，最终导致设备被完全控制。此类型为复合型。

严重

-

是

-

-

通过iOS恶意配置文件入侵设备, 124

手动

设备

模式.通过iOS恶意配置文件入侵设备

初始访问、执行、持久化、权限提升、凭据访问、收集、外泄、影响

通过恶意应用程序入侵设备（SDK）

设备遭受到一个复杂的杀伤链攻击，该攻击始于恶意应用程序并最终导致设备被入侵。类型为复合型。

严重

是

是

是

-

通过恶意应用程序入侵设备, 122

手动或自动

设备

模式.通过恶意应用程序入侵设备

初始访问、执行、持久化、权限提升、凭据访问、收集、外泄、影响

通过网络攻击入侵设备（SDK）

设备遭受到一个复杂的杀伤链攻击，该攻击始于网络层面并最终导致设备被入侵。类型为复合型。

严重

是

是

是

-

通过网络攻击入侵设备, 121

手动

网络

模式.通过网络攻击入侵设备

初始访问、执行、持久化、权限提升、凭证窃取、数据收集、数据外泄、影响、网络效应

通过钓鱼攻击入侵设备

该设备遭受到一个复杂的杀伤链攻击入侵，该攻击始于钓鱼威胁并最终导致设备被入侵。类型为复合型。[f]

严重

是

是

是

-

通过钓鱼攻击入侵设备, 123

手动

网络

模式.通过钓鱼攻击入侵设备

初始访问、执行、持久化、权限提升、凭证窃取、影响、网络效应

设备加密（SDK）

设备未启用加密功能，而加密是保护设备内容所必需的。

高

是

--

-

-

未启用加密, 49

自动

设备

主机.加密

影响

设备未通过基本完整性检查（SDK）

该设备可能不符合Android兼容性要求，可能未被批准运行Google Play服务。

严重

是

-

-

-

PLAY_INTEGRITY_BASIC, 180

自动

设备

PLAY_INTEGRITY_BASIC

-

设备未通过完整性检查（SDK）

该设备可能不符合Android兼容性要求，可能未获准运行Google Play服务。

较高

是

-

-

-

PLAY_INTEGRITY, 178

自动

设备

PLAY_INTEGRITY

-

设备未通过强完整性检查（SDK）

该设备可能未通过系统完整性检查或不符合Android兼容性要求。

低

是

-

-

-

PLAY_INTEGRITY_STRONG, 179

自动

设备

PLAY_INTEGRITY_STRONG

-

设备越狱/ROOT（SDK）

越狱和ROOT是获取系统未授权访问或提升权限的过程。此类操作可能暴露潜在安全漏洞，或破坏设备内置的安全防护机制。

严重

是

是

是

-

DEVICE_ROOTED, 39

自动

设备

host.jailbroken

执行、持久化、权限提升

设备PIN码（SDK）

该设备未设置PIN码或密码来控制访问权限。

较高

是

是

-

-

PASSCODE_NOT_ENABLED, 50

自动

设备

host.pin

影响

DNS变更（SDK）- 已弃用

移动设备的DNS配置发生变更。若DNS被更改为您所在网络中的未知服务器，则可能是中间人攻击尝试。注：该威胁标识已弃用。[l]

普通

是

-

是

-

DNS变更, 17

自动

网络

主机配置.DNS

初始访问, 网络影响

权限提升(EOP)(SDK)

恶意进程导致移动设备权限提升，使攻击者可完全控制设备。

已提升

是

是

-

-

以ROOT权限运行, 12

手动

设备

主机进程.EOP

持久化, 权限提升, 执行

启用零接触激活所需权限

当采用零接触激活时，此威胁表示用户尚未授予应用正常运行的必要权限。

已提升

是

是

-

-

启用权限, 192

自动

设备

ENABLE_PERMISSIONS

-

通过ADB向敏感目录推送文件（SDK）

Android调试桥（adb）是一种高级调试工具，通常用于开发和故障排除阶段。在adb会话期间，有文件被上传至设备敏感目录，若非处于主动开发或事件排查状态，此行为异常且存在风险。

高

是

-

-

-

FILE_PUSHED_ADB, 186

自动

设备

FILE_PUSHED_ADB

收集、执行

文件系统变更 （SDK）

检测到文件系统变更。对文件系统中文件的修改有时可能引发恶意事件。

高

是

是

是

-

FILES_SYSTEM_CHANGED, 23

手动

设备

host.process.filesystemchange

持久性, 影响

文件系统挂载点变更(SDK)

文件系统挂载变更通常是设备正常行为的一部分，但也可能是设备遭受攻击的表现。该行为本身被视为正常/低风险，但应持续监控受影响设备是否存在威胁。

高

是

是

是

-

文件系统变更, 23

手动

设备

主机.文件系统挂载点变更

-

网关变更(SDK) - 已弃用

移动设备网关配置变更可能意味着流量被发送到非预期目的地。

普通

是

-

-

-

网关变更, 16

自动

网络

主机.配置.网关

初始访问, 网络影响

Google Play保护机制停用(SDK)

该设备已禁用Google Play保护功能。该功能可帮助设备防御恶意应用，需重新启用。

高

是

-

是

-

GOOGLE_PLAY_PROTECT_DISABLED, 84

自动

设备

host.config.google_play_protect_disabled

初始访问, 影响

黑客工具（SDK）

黑客工具是指专门设计用于有意修改或绕过设备、操作系统或应用程序标准运行的程序或实用工具。虽然黑客工具有合法用途（如调试、测试和性能监控），但它们也可能被恶意利用，对设备及设备上的数据构成重大风险。

低

是

-

-

-

HACKING_TOOLS, 188

自动

设备

HACKING_TOOLS

防御规避

高风险浏览器扩展

检测到一个Chrome扩展程序存在一项或多项隐私和/或安全问题，可能导致您的个人及机密信息面临风险。

较高

-

-

-

是

HIGH_RISK_BROWSER_EXTENSION, 1004

自动

恶意软件

chromeos.extension.high_risk

持久化、凭证访问、发现、收集、执行

高风险欺诈设备（仅限SDK）

检测引擎已识别出表明执行此交易的设备可能已遭入侵的指标。这些指标包括授予应用程序的过度远程控制权限。这会显著增加设备上未经授权活动的风险。

严重

-

-

-

-

HIGH_RISK_FRAUD_DEVICE, 195

自动

设备

HIGH_RISK_FRAUD_DEVICE

影响、命令与控制

非活跃应用

已超过一定时间且该应用未与服务器通信。通知邮件：[c]

较高

是

是

是

-

INACTIVE_APP, 100

自动

设备

app.dormant

-

内部网络访问（SDK）- 已弃用

检测到某应用正在连接私有或内部服务器。公开应用程序连接内部服务器的情况并不常见。公开应用连接内部服务器被视为可疑行为，需立即调查是否存在设备感染恶意软件及数据泄露的风险。

低

是

-

-

-

内部网络访问, 48

自动

网络

network.internal_network_access

发现、横向移动、收集

iOS快速安全响应可用（SDK）

设备可安装iOS快速安全响应。该响应包含重要安全改进，应尽快安装。

严重

-

是

-

-

IOS_RSR, 164

自动

设备

host.rsr.ios

影响

iOS快捷指令检测已禁用（SDK）

设备未配置检测高风险或恶意iOS快捷指令的功能。必须启用此选项。

较高

-

是

-

-

SHORTCUT_REQUIRED, 181

自动

设备

SHORTCUT_REQUIRED

-

iOS快捷指令检测已过时（SDK）

设备上安装的Bitdefender快捷指令已过期。未使用最新版Zimperium快捷指令将导致无法启用最新功能。

高危

-

是

-

-

SHORTCUT_OUTDATED, 201

自动

-

-

-

iTunes无线同步已启用（SDK）

该设备配置为通过WiFi与外部设备连接并同步数据及备份。

中危

-

是

-

-

WIFI_SYNC_ENABLED, 94

自动

设备

host.itunes.wifi_sync_enabled

影响

IP扫描（SDK）

使用IP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

中危

是

-

-

-

IP扫描, 2

自动

网络

网络.扫描.IP

初始访问、发现、收集、网络效应

链接验证已禁用 - 设备端VPN (SDK)

该设备上使用设备端VPN的链接验证功能已被禁用。

高

是

是

-

-

链接验证禁用, 143

自动

设备

链接验证禁用

-

链接验证已禁用 - Safari扩展

该设备上使用Safari浏览器扩展的链接验证功能已被禁用。

高

-

-

-

-

Safari扩展禁用, 151

自动

网络

网络.Safari扩展禁用

-

需要本地网络访问权限

该应用需要本地网络访问权限，以保护设备免受复杂的基于Wi-Fi的网络攻击。

高级

-

是

-

-

需要本地网络权限, 149

自动

网络

需要本地网络权限

-

需要位置权限：Android

该应用需要位置权限以保护设备免受复杂网络攻击。

高级

是

-

-

-

需要位置权限_Android, 145

自动

设备

需要位置权限_Android

-

需要位置权限：iOS

该应用需要位置权限，以便在报告移动威胁时包含位置信息。位置数据可提供附近Wi-Fi风险的实时信息。

高级

-

是

-

-

需要位置权限（iOS），146

自动

设备

需要位置权限（iOS）

-

未启用锁定模式（SDK）

锁定模式是iOS的一项旨在增强设备安全性的功能，建议启用该功能。

高危

-

是

-

-

锁定模式未启用，152

自动

设备

锁定模式未启用

-

发现恶意iOS快捷指令（SDK）

检测到您的设备上安装了可能恶意的iOS快捷指令。此类指令可能对您的信息安全构成重大威胁，建议检查该指令以判断是否应继续使用。

严重

-

是

-

-

可疑快捷指令，182

自动

设备

可疑快捷指令

-

中间人攻击（SDK）

发生了中间人攻击，恶意攻击者可劫持流量、窃取凭据并向设备投放恶意软件。

高

-

是

-

-

TRACEROUTE_MITM, 68

自动

网络

network.mitm

收集、外泄、网络影响

中间人攻击-ARP（SDK）

利用ARP表投毒实施的中间人攻击，恶意攻击者可借此劫持流量、窃取凭据或向设备投放恶意软件。

高

是

-

-

-

ARP_MITM, 4

自动

网络

network.mitm.arp

收集、外泄、网络影响

中间人攻击-伪造SSL证书（SDK）

发生了使用伪造证书的中间人攻击，此时恶意攻击者可劫持流量、窃取凭据并向设备投放恶意软件。

高

是

是

是

-

SSL中间人攻击,35

自动

网络

网络.mitm.ssl证书

收集、外泄、网络效应

中间人攻击-伪造SSL证书-自签名 (SDK)

发生了使用伪造自签名证书的中间人攻击。恶意攻击者可借此劫持流量、窃取凭证并向设备投放恶意软件。

高危

是

是

-

-

SSL自签名中间人攻击,138

自动

网络

网络.mitm.ssl证书自签名

收集、外泄、网络效应

中间人攻击-ICMP重定向(SDK)-已弃用

利用ICMP协议的中间人攻击指恶意攻击者可劫持流量、窃取凭证并向设备投放恶意软件。 注：该威胁已弃用。

高危

是

-

-

-

ICMP重定向中间人攻击,11

自动

网络

网络.mitm.icmp

收集、外泄、网络影响

中间人攻击 - SSL剥离（SDK）

通过SSL剥离实施的中间人攻击可使恶意攻击者将HTTPS流量降级为HTTP，从而劫持流量、窃取凭据并向设备投递恶意软件。

严重

是

是

是

-

SSL_STRIP, 14

自动

网络

network.mitm.ssl_strip

收集、外泄、网络影响

GravityZone MTD 在工作档案和个人档案中均未激活 - Android企业版

此设备的个人档案和工作档案均未激活移动威胁防御（MTD）应用程序。请安装并激活 GravityZone MTD 至两处位置以确保设备获得全面保护。

较高

是

-

-

-

ZIPS_NOT_RUNNING_ON_CONTAINER, 78

自动

设备

host.afw_both_profiles_not_activated

-

国家连接网络异常 - Android

检测到国家连接异常，若非应用常规通信模式，建议卸载该应用。

正常

是

-

-

-

国家连接异常_安卓, 213

自动

网络

国家连接异常_安卓

-

国家连接网络异常 - iOS

检测到国家连接异常并存在潜在风险。建议运行深度扫描以降低设备风险。

正常

-

是

-

-

国家连接异常_iOS, 212

自动

网络

国家连接异常_iOS

-

流量峰值网络异常 - 安卓

检测到网络流量异常，若该行为不属于常规应用通信模式，建议卸载该应用。

正常

是

-

-

-

网络流量异常_安卓, 211

自动

网络

网络流量异常_安卓

-

流量峰值导致的网络异常 - iOS

检测到存在潜在风险的网络流量异常。建议运行深度扫描以降低设备风险。

正常

-

是

-

-

网络流量异常_IOS, 210

自动

网络

网络流量异常_IOS

-

网络切换（SDK）- 已弃用

发生网络切换，可能导致设备改变网络路由，存在中间人攻击风险。

是

-

-

-

-

网络切换, 36

自动

网络

网络.ARP.切换

初始访问、网络效应、数据渗出

需获取通知权限

该应用需要用户授予通知权限，以便接收关于移动安全的设备端警报。

高

是

是

-

-

需要通知权限, 150

自动

设备

需要通知权限

-

操作系统不合规 - Android (SDK)

当前Android版本不符合指定的操作系统合规策略。该设备有可用的Android升级版本。

高

是

-

-

-

ANDROID_OOC_可升级, 161

自动

设备

host.ooc.android.可升级

影响

操作系统不合规 - iOS (SDK)

当前iOS版本不符合指定的操作系统合规策略。该设备有可用的iOS升级版本。

高

是

-

-

-

IOS_OOC_可升级, 160

自动

设备

主机.ooc.ios.可升级

影响

操作系统不合规且不可升级 - Android (SDK)

Android版本不符合分配的OS合规策略。该设备无可用Android升级版本。

高

是

-

-

-

ANDROID_OOC_不可升级, 163

自动

设备

主机.ooc.android.不可升级

影响

操作系统不合规且不可升级 - iOS (SDK)

iOS版本不符合分配的OS合规策略。该设备无可用iOS升级版本。

高

-

是

-

-

IOS_OOC_不可升级, 162

自动

设备

主机.ooc.ios.不可升级

影响

操作系统可升级 - Android (SDK)

设备安装的Android版本非最新版本。新版Android通常包含安全补丁。

严重程度

是

-

-

-

ANDROID_OUTDATED, 159

自动

设备

host.outdated.android

影响

可升级操作系统 - iOS (SDK)

设备安装的iOS版本已过期。新版iOS通常包含安全补丁。

严重程度

是

-

-

-

IOS_OUTDATED, 158

自动

设备

host.outdated.ios

影响

不合规应用 (SDK)

设备上发现一个或多个被标记为不合规的应用。

严重程度

是

是

是

OUT_OF_COMPLIANCE_APP, 93

自动

恶意软件

主机应用不合规

数据渗出、收集、影响

不合规浏览器扩展

检测到Chrome扩展程序不符合您组织的策略要求。建议您从Chrome浏览器中移除该扩展。

高

-

-

-

是

不合规浏览器扩展, 1003

自动

应用

chromeos.extension.ooc

持久化、凭证访问、发现、收集、执行

无线(OTA)更新已禁用(SDK)

此设备已禁用无线(OTA)更新功能。OTA更新有助于保持设备软件的最新状态和安全性。

低

是

-

是

-

无线更新已禁用, 86

自动

设备

主机.ota更新禁用

影响

钓鱼PDF文件(SDK)

在PDF文件中检测到一个潜在恶意的URL。

高

是

-

-

-

钓鱼PDF文档, 184

自动

设备

钓鱼PDF文档

初始访问、持久化、凭据访问、影响、收集、外泄、执行

钓鱼防护 - 链接点击

设备上点击了一个潜在恶意的网站地址（URL）链接。

高

是

是

是

是

恶意网站, 9

自动

设备

host.site-insight.link-tapped

初始访问、凭据访问、网络效应

钓鱼防护 - 链接访问

用户在设备上点击了一个潜在恶意的URL。系统已警告用户该链接网站可能存在危险，但用户仍选择在警告后继续访问该网站。

高

是

是

是

是

恶意网站已打开，72

自动

设备

主机.site-insight.link-已访问

初始访问、凭证窃取、网络效应、执行、权限提升

代理变更（SDK）

移动设备上的代理配置变更可能意味着流量被导向非预期目的地。

低

是

-

-

-

代理变更，15

手动

网络

主机.配置.代理

初始访问、网络效应、数据渗出

受保护应用侧载（SDK）

受保护应用正通过非受信任方式安装（如非官方应用商店），存在应用遭篡改可能，可能包含恶意代码或出现异常行为。

高

是

是

-

-

197，受保护应用侧载

手动

恶意软件

受保护应用侧载

初始访问、持久化、收集、外泄

受保护应用在不支持的设备上运行（SDK）

此检测用于识别iOS应用在未经批准的设备（如M1 Mac）上安装（并执行）的情况。在不支持的设备上运行应用会增加敏感数据被未授权访问的风险，并使应用面临潜在的反向工程、数据泄露及其他恶意活动威胁。

低

是

APP_ON_UNSUPPORTED_DEVICE, 215

自动

设备

APP_ON_UNSUPPORTED_DEVICE

设备重启提醒（SDK）

提醒定期重启设备。定期重启有助于保持设备最佳性能，是推荐的安全最佳实践。

低

是

是

-

-

RESTART_DEVICE_REMINDER, 193

自动

设备

RESTART_DEVICE_REMINDER

持久化

发现高风险iOS快捷指令（SDK）

检测到设备安装了可能存在风险的iOS快捷指令。此类指令可能对您的信息安全构成重大威胁。建议检查该快捷指令以确定是否应继续使用。

-

是

-

-

-

SHORTCUT_RISKY, 183

自动

设备

SHORTCUT_RISKY

-

风险网站已拦截

设备上一个潜在恶意的网站地址（URL）链接已被拦截。[j]

较高

是

是

是

是

MAL_WEBSITE_BLOCKED, 137

自动

设备

content_filter.malsite_blocked

初始访问

风险网站 - 链接被点击

设备上一个潜在恶意的网站地址（URL）链接被点击。[j]

较高

是

是

是

是

MAL_WEBSITE_TAPPED, 135

自动

设备

content_filter.malsite_tapped

初始访问

风险网站 - 链接已访问

用户点击了设备上可能恶意的链接。系统已警告该链接网站存在潜在风险，但用户在收到警告后仍选择继续访问。[j]

严重

是

是

是

是

恶意网站访问, 136

自动

设备

内容过滤.恶意网站访问

初始访问

恶意接入点(SDK)

恶意接入点通过伪装首选和已知网络，利用设备漏洞连接至先前已知的Wi-Fi网络。

严重

是

是

是

-

恶意接入点, 38

自动

网络

网络.中间人攻击.恶意接入点

网络影响、初始访问、凭据获取

邻近恶意接入点(SDK)

恶意接入点通过伪装首选和已知网络，利用设备漏洞连接至先前已知的Wi-Fi网络。

高危

是

-

是

-

附近存在恶意热点, 65

自动

网络

网络中间人攻击.恶意热点邻近

初始访问, 网络影响

检测到屏幕截图（仅SDK）

移动设备上的屏幕截图存在暴露敏感信息的风险，因为截图可能被轻易分享、同步至云服务或在设备被入侵时被访问。 恶意软件可利用屏幕截图窃取安全应用中的数据，可能导致受监管行业的合规性违规。

高危

-

-

-

-

屏幕截图, 214

自动

设备

屏幕截图

数据收集

屏幕共享活跃（仅SDK）

屏幕共享存在潜在安全风险。应用屏幕可能正在泄露敏感信息。恶意软件可能利用此功能远程控制受害者设备。

高危

-

-

-

-

屏幕共享活跃, 176

设备

屏幕共享活跃

-

疑似屏幕共享（仅SDK）

屏幕共享存在潜在安全风险。应用屏幕可能正在泄露敏感信息。多种恶意软件可能利用此功能远程控制受害者设备。

高危

-

-

-

-

疑似屏幕共享, 191

自动

设备

疑似屏幕共享

-

SELinux已禁用(SDK)

安全增强型Linux(SELinux)是操作系统中的一项安全功能，有助于维护操作系统的完整性。如果SELinux被禁用，操作系统的完整性可能受到损害，应立即进行调查。

严重

是

-

-

-

SELINUX已禁用, 61

自动

设备

host.selinux.disabled

-

通过ADB从设备下载敏感文件(SDK)

Android调试桥(adb)是一种高级调试工具，通常用于开发和故障排除会话。在活跃的adb会话期间，从设备下载了敏感文件，暴露了设备或用户敏感信息数据丢失的潜在风险。

高危

是

-

-

-

文件提取_ADB, 185

设备

文件提取_ADB

收集, 执行

来自高风险应用商店的侧载应用(SDK)

检测到使用拒绝列表证书签名的侧载应用。此类证书可能被用于在第三方应用商店签署恶意应用。

严重

-

是

-

-

黑名单证书, 155

自动

设备

黑名单证书

-

侧载应用(SDK)

侧载应用独立于官方应用商店安装，可能存在安全风险。

较高

是

是

是

-

侧载应用, 76

自动

恶意软件

主机.侧载应用

初始访问、信息收集、数据外泄、持久化

侧载浏览器扩展

检测到非官方应用商店安装的侧载扩展程序。此类扩展及其开发者可能未经验证，存在安全风险。

高

-

-

-

是

SIDELOADED_BROWSER_EXTENSION, 1005

自动

应用

chromeos.extension.sideloaded

持久化、凭证访问、发现、信息收集、执行

侧载高风险恶意软件 (仅SDK)

已知恶意应用试图以提权或间谍软件等方式控制设备。该恶意软件通过非官方商店安装。

严重

-

-

-

-

SIDELOADED_RISKY_MALWARE, 170

自动

恶意软件

host.app.malicious.risky

初始访问、持久化、凭证访问、影响、信息收集、数据外泄、执行

SIM卡更换(SDK)

唯一标识设备的SIM卡（用户识别模块）或其状态（如停用）发生变更。SIM卡存储设备与用户的敏感信息。未经知情同意的SIM卡变更存在潜在风险，应予以调查。

普通

是

-

-

-

SIM卡变更, 168

自动

设备

SIM卡变更

初始访问

网站已屏蔽

用户点击了未经组织批准的网站内容，该网站已被屏蔽。 [j]

提升

是

是

是

是

网站被屏蔽, 134

自动

设备

内容过滤器.已屏蔽

初始访问

网站警告 - 链接被点击

设备上点击了未经组织批准的网站内容。 [j]

提升

是

是

是

是

网站被点击, 132

自动

设备

内容过滤器.网站被点击

初始访问

网站警告 - 链接已访问

用户点击了未经组织批准的网站内容。系统已警告该网站内容不符合组织政策，但用户仍选择在警告后继续访问。[j]

高

是

是

是

是

网站已访问, 133

自动

设备

内容过滤器.网站已访问

初始访问

SSL/TLS降级(SDK) - 已弃用

SSL/TLS降级会强制应用使用旧加密协议。这些协议可能存在漏洞，导致第三方可查看加密信息。 注：此威胁已弃用。

低

是

是

-

-

TLS降级, 77

自动

网络

网络.ssl_tls降级

影响, 网络效应

Stagefright漏洞(SDK) - 已弃用

Stagefright漏洞表明设备操作系统补丁版本存在被攻击风险。

高

是

-

是

-

STAGEFRIGHT漏洞, 40

自动

设备

host.mediaserver.sf_vulnerability

影响

需要存储权限

该应用需要存储权限以扫描设备本地存储，识别可能窃取个人或敏感信息的高风险或恶意应用。

高危

是

-

-

-

需要存储权限, 142

自动

设备

需要存储权限

-

疑似侧载iOS应用(SDK)

检测到设备上存在疑似未通过苹果官方应用商店分发的iOS应用。用户需运行深度扫描以确认该侧载应用。

高危

-

是

-

-

疑似侧载应用, 205

自动

恶意软件

疑似侧载应用

-

可疑安卓应用（SDK）

已知恶意应用试图以某种方式控制设备，例如提权或间谍软件行为。

严重

是

-

-

-

疑似APK文件, 13

自动

恶意软件

host.app.malicious

初始访问、持久化、数据渗出、影响、凭据访问、执行、收集

2.7.127 可疑APK文件（SDK）

APK文件中存在有害代码或行为，表明检测到潜在威胁。

高危

是

-

-

-

恶意APK文件, 206

自动

恶意软件

恶意APK文件

初始访问、持久化、影响、收集、数据渗出、执行

可疑浏览器扩展

检测到不安全扩展，强烈建议立即移除该扩展。

严重

-

-

-

是

可疑浏览器扩展, 1002

自动

应用

chromeos.extension.suspicious

持久化、凭证窃取、信息探测、数据收集、执行

可疑iOS应用

检测到已知恶意应用，可能以某种方式试图控制设备，如权限提升或间谍软件。

严重

-

是

-

-

可疑IPA文件, 42

自动

应用

host.ipa.malicious

初始访问、持久化、数据渗出、影响、凭证窃取、执行、收集

可疑PDF文件(SDK)

PDF文件中含有有害代码或行为，表明检测到潜在威胁。

高危

是

-

-

-

恶意PDF文档, 174

自动

设备

恶意PDF文档

初始访问、持久化、凭据窃取、影响、数据收集、数据渗出、执行

可疑配置文件

可疑配置文件是指环境中新引入且未被明确标记为可信或不可信的配置文件。管理员必须审查该配置文件并将其标记为可信或不可信。

高权限

-

是

-

-

SUSPICIOUS_PROFILE, 45

自动

设备

host.profile.suspicious

初始访问、持久化、数据渗出、影响、凭据窃取、执行、数据收集

系统篡改（SDK）

系统篡改是指移除设备制造商设置的安全限制的过程，表明设备已完全被攻陷且不再可信。

严重

是

是

是

-

SYSTEM_TAMPERING, 37

手动

设备

host.systemconfig.system_tampering

执行、权限提升、影响

不可信配置文件

不可信配置文件是指安装在一台或多台设备上且对您的设备不安全的配置文件。设备上安装的不可信配置文件可被用于远程控制设备、监控和操作用户活动，以及劫持用户流量。

严重

-

是

-

-

不可信配置文件, 24

自动

设备

主机配置文件.不可信

初始访问, 持久化, 数据渗出, 影响, 凭据访问, 执行, 收集

检测到标签追踪器(SDK)

检测到标签追踪器。该标签可能正在追踪用户位置。若用户不知晓此标签，应予以禁用。

高

是

-

-

-

标签追踪器检测, 141

自动

设备

标签追踪器检测

-

TestFlight应用已安装

TestFlight已安装。TestFlight是苹果提供的服务，允许开发者在公开发布前向测试人员分发和测试应用程序。开发者广泛使用TestFlight确保应用在公开发布前稳定完善。

普通

-

是

-

-

TESTFLIGHT已安装, 209

自动

恶意软件

TESTFLIGHT已安装

-

TCP扫描（SDK）

使用TCP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

TCP_SCAN, 0

自动

网络

network.scan.tcp

初始访问、侦察、收集、网络影响

UDP扫描（SDK）- 已弃用

使用UDP协议进行的侦察扫描通常是恶意攻击者寻找易受网络攻击（如中间人攻击）设备的迹象。

正常

是

-

-

-

UDP_SCAN, 1

自动

网络

network.scan.udp

初始访问、侦察、收集、网络影响

允许未知来源安装（SDK）

允许从Google Play商店以外的位置下载应用。

较高风险

是

-

是

-

未知来源开启, 25

自动

设备

host.config.unknown_sources

影响, 初始访问

已解锁的Bootloader (SDK)

设备引导加载程序已解锁。引导加载程序是管理设备启动过程并维护设备完整性的系统级工具。 解锁引导加载程序会通过允许特殊的系统级访问来安装非标准软件和应用程序，从而危及设备的完整性， 增加设备及设备上数据的风险。

升高

是

-

-

-

BOOTLOADER_UNLOCKED, 165

自动

设备

BOOTLOADER_UNLOCKED

初始访问, 持久化, 权限提升, 防御规避, 执行

未扫描文件 (SDK)

未扫描文件存在潜在风险。建议立即恢复扫描。

升高

是

是

-

-

UNSCANNED_PDF_FILES, 189

自动

设备

未扫描的PDF文件

不安全Wi-Fi网络（SDK）

检测到连接至未加密的Wi-Fi网络，此类网络缺乏加密或认证协议保护，易受攻击者入侵。

低

是

是

-

-

不安全Wi-Fi网络，66

自动

网络

网络.不安全wifi

初始访问、网络效应、数据渗出、信息收集

不可信配置文件

不可信配置文件指安装在一台或多台设备上、对您的设备存在安全隐患的配置文档。此类配置文件可被用于远程控制设备、监控并操纵用户活动，以及劫持用户流量。

严重

-

是

-

-

不可信配置文件，24

自动

设备

主机.配置文件.不可信

初始访问、持久化、数据渗出、影响、凭据访问、执行、信息收集

USB调试模式（SDK）

USB调试是专为开发目的设计的高级配置选项。启用该模式后，设备在接入USB连接时可接收来自计算机的指令。

高

是

-

-

-

USB调试已开启, 44

自动

设备

host.usb.debugging

影响, 初始访问

VPN连接活跃(SDK)

VPN连接处于活动状态。VPN可用于操纵设备位置，并可能成为欺诈者在非法交易中掩盖其位置的危险信号。

低

是

是

-

-

VPN_ACTIVE, 204

自动

网络

VPN_ACTIVE

横向移动, 命令与控制

需VPN权限 - 安全网页

需要VPN权限以保护设备免受风险网站侵害。

高

是

是

-

-

VPN_PERMISSION_REQUIRED_SECURE_WEB, 153

自动

设备

VPN权限要求-安全网页

-

VPN权限要求-安全Wi-Fi

该应用需要VPN权限以在网络遭受恶意攻击时保护数据安全。

高危

是

是

-

-

VPN权限要求-安全Wi-Fi,154

自动

网络

VPN权限要求-安全Wi-Fi

-

存在漏洞的安卓版本(SDK)

设备安装的安卓版本存在一个或多个严重漏洞且未更新。过时的操作系统使设备暴露于已知漏洞及被恶意攻击者利用的风险中。应立即更新安卓版本。

高危

是

-

是

-

安卓未更新,51

自动

设备

主机.存在漏洞的安卓系统

影响

存在漏洞的iOS版本(SDK)

设备安装的iOS版本存在一个或多个严重漏洞且未更新。过时的操作系统使设备暴露于已知漏洞及被恶意攻击者利用的风险中。应立即更新iOS版本。

高危

-

是

-

-

IOS未更新, 52

自动

设备

主机.易受攻击的iOS

影响

易受攻击且无法升级的Android版本(SDK)

该设备正在运行存在漏洞的Android版本。但该设备目前不符合操作系统升级条件。

低

是

-

是

-

易受攻击且无法升级的ANDROID版本, 89

自动

设备

安卓未更新且不可升级

影响

易受攻击且无法升级的iOS版本(SDK)

该设备正在运行存在漏洞的iOS版本。但该设备目前不符合操作系统升级条件。

低

-

是

-

-

易受攻击且无法升级的IOS版本, 88

自动

设备

主机.易受攻击.ios.不可升级

影响