zzzzzz对 雷霆战机：集结 的评价

权限汇总
该应用申请了 30 余项权限，涵盖网络、存储、电话状态、位置、摄像头、录音、通知、安装包、悬浮窗等，高度疑似为广告变现与营销 SDK 所必需。主要权限清单如下：
· 网络：INTERNET、ACCESS_NETWORK_STATE、ACCESS_WIFI_STATE、CHANGE_WIFI_STATE、CHANGE_NETWORK_STATE
· 存储：READ_EXTERNAL_STORAGE、WRITE_EXTERNAL_STORAGE、READ_MEDIA_AUDIO、READ_MEDIA_IMAGES、READ_MEDIA_VIDEO
· 电话与标识：READ_PHONE_STATE、QUERY_ALL_PACKAGES、com.google.android.gms.permission.AD_ID
· 设备功能：CAMERA、RECORD_AUDIO、MODIFY_AUDIO_SETTINGS、VIBRATE
· 悬浮与任务：SYSTEM_ALERT_WINDOW、GET_TASKS、REORDER_TASKS
· 安装与包管理：REQUEST_INSTALL_PACKAGES
· 通知：POST_NOTIFICATIONS
· 位置：ACCESS_COARSE_LOCATION
· 其他自定义：com.huawei.permission.ACCESS_HW_KEYSTORE、com.hihonor.permission.ACCESS_HW_KEYSTORE、com.asus.msa.SupplementaryDID.ACCESS、com.android.vending.BILLING（谷歌内购）
· 广告相关自定义权限：com.a5game.ltzj.jj.openadsdk.permission.TT_PANGOLIN、com.a5game.ltzj.jj.gdt.qq.SEND_PERMISSION、com.a5game.ltzj.jj.gdt.qq.RECEIVE_PERMISSION
声明功能
· 麦克风与摄像头为可选硬件（required="false"），因此即便设备无此硬件也可安装。
启动与主要 Activity
· 启动入口：com.xxx.sdk.GamePrivacyActivity，负责隐私政策展示或用户协议确认，纵向屏幕，常驻 LAUNCHER 意图。
· 游戏主 Activity：com.cocos.game.AppActivity，singleTask 模式，配置了 deep link（scheme=dygame794311，host=com.a5game.ltzj.jj，path=/jump_to_game），可通过外部链接唤起。
· 其他 Activity：Cocos 编辑框辅助 Activity、大量广告 SDK Activity（详见后文）。
深层链接（Deep Link）
应用注册了自定义 scheme dygame794311，可被外部应用通过链接 dygame794311://com.a5game.ltzj.jj/jump_to_game 直接拉起到游戏界面。
服务组件暴露情况
· com.ace.gshell.GP7Worker、GP6Service、GP7Service 三个服务均为 导出（exported=true） 且运行在独立进程（:GP7Worker、:GP6Service、:GP7Service），意图过滤器为同名 action。这类命名（GP6/GP7）可能属于某性能监控或壳保护 SDK（类似 GSHELL），暴露的服务可被外部调用，存在安全隐患。建议确认其必要性，如非跨应用调用应设置 exported=false。
第三方 SDK 与广告聚合平台
Manifest 中集成了大量广告、数据统计和应用内支付 SDK，主要包括：
1. 穿山甲（Pangle）
· 提供者：com.bytedance.sdk.openadsdk.multipro.TTMultiProvider、com.bytedance.sdk.openadsdk.TTFileProvider
· 自定义权限 TT_PANGOLIN
· 转化归因：com.bytedance.ads.convert.BDBridgeActivity（exported=true，可能用于归因链接）
2. 优量汇（YLH/GDT）
· 提供者：com.qq.e.comm.GDTFileProvider，自定义权限 gdt.qq.SEND_PERMISSION / RECEIVE_PERMISSION
· 相关 Activity：ADActivity、PortraitADActivity、LandscapeADActivity、RewardvideoPortraitADActivity、RewardvideoLandscapeADActivity
· 下载服务：com.qq.e.comm.DownloadService
3. 快手联盟（KS SDK）
· 大量 com.kwad.sdk.api.proxy.app 下的 Activity，涵盖开屏、激励视频、插屏、落地页、详情页、下载等场景，合计超过 30 个 Activity。
· 文件提供者：AdSdkFileProvider，下载服务、独立远程服务等。
4. TapTap SDK（TapAD）
· 存根 Activity：Stub_Standard_Portrait_Activity、Stub_Interstitial_* 等，用于广告展示。
· 文件提供者：TapADFileProvider，下载内容提供者 OkDownloadProvider，通知接收器。
5. Sigmob SDK
· 提供者：com.sigmob.sdk.SigmobFileV4Provider
6. AnyThink（TopOn 聚合）
· 透明 Activity：com.anythink.china.activity.TransparentActivity
· APK 下载确认、文件提供者、通知广播接收器、下载服务等，说明该应用可能通过 AnyThink 聚合了多家广告平台。
7. 华为/Honor 广告标识
· 集成华为广告标识服务：ads-identifier:3.4.62.300。
8. 谷歌广告 ID
· 权限 com.google.android.gms.permission.AD_ID，对应元数据。
9. 支付
· 使用 com.android.vending.BILLING 权限，集成谷歌应用内支付。
10. 其他工具
· com.xxx.sdk.GamePrivacyActivity 可能来自某隐私合规 SDK。
· Meta-data AnoStamp 值为 SKuFlKioqKmoqKiptdxnK7XcZyo=，可能是加密认证或防篡改标识。
· hume_convert.AppConvert.sdk.version 元数据值为 2.0.0，表明使用了某转化归因 SDK。
· rmonitor 相关提供者，用于性能监控或热修复。
查询声明（<queries>）
应用声明了需要查询的包名和 Intent，主要用以检测是否安装了以下应用：
· 微信（com.tencent.mm）
· 抖音、抖音极速版、抖音火山版、西瓜视频等（com.ss.android.ugc.aweme 系列）
· 淘宝（tbopen scheme）
· 支付宝（国内版及香港版）
· 今日头条、今日头条极速版、番茄小说（com.dragon.read）
· TapTap 及 TapTap 国际版
这些查询主要用于广告跳转、支付引导、渠道归因和深度链接唤醒。
其他特征
· 支持屏幕自适应：anyDensity、多种屏幕尺寸。
· 允许明文流量：usesCleartextTraffic="true"，说明应用可能在本地开发或某些场景使用 HTTP。虽方便调试，但若发版未关闭，存在数据传输风险。
· 备份允许：allowBackup="true"，游戏可能允许备份，涉及数据安全。
· 使用了 org.apache.http.legacy 库（可选），保持对旧版网络库的兼容。
安全性及合规注意
· 部分 Service 无必要地 exported="true"（如 GP7Worker 等），攻击者可绑定或发送 Intent，推荐改为 false。
· QUERY_ALL_PACKAGES 权限为敏感权限，需在隐私政策中说明用途，Google Play 上架可能被审查。
· 请求了大量与核心游戏无关的权限（相机、录音、位置、电话状态），隐私合规要求需逐一说明用途，否则有违规下架风险。
· 应用内置多家广告平台，需确保广告 SDK 的隐私政策与数据收集行为已明确披露，并取得用户同意（尤其 GDPR/个人信息保护法场景）。
总结
这是一个基于 Cocos 引擎的游戏，版本 1.23.10，面向上架国内及海外渠道（支持华为、荣耀、谷歌等）。其主要盈利模式为广告变现，集成了穿山甲、优量汇、快手、TapTap、Sigmob 等多家广告 SDK，并通过 AnyThink 进行聚合。此外还集成了支付（谷歌）、转化归因及性能监控工具。应用权限广泛，启动前通过隐私活动获取用户同意。在安全层面应修复不必要的组件导出，避免明文流量，并确保所有敏感权限已合规声明。整体上，该应用属于典型的高商业化重度游戏发行配置。