Jadx

Dekompilace APK + systematický grep checklist na secrets, slabou kryptografii, SQLi a díry ve WebView.

od BrownFineSecurity · BrownFineSecurity/iothackbot

Funguje s nastavením ★ 9.6/10

Jadx — Dekompilace APK + systematický grep checklist na secrets, slabou kryptografii, SQLi a díry ve WebView.

Co umí

Obaluje dekompilátor jadx DEX-to-Java zdokumentovaným CLI/GUI workflow a bezpečnostním checklistem pokrývajícím natvrdo zapsané secrets, slabou kryptografii, SQL injection, nezabezpečené úložiště a zranitelnosti WebView. Spouští se, když chce uživatel dekompilovat APK, přečíst logiku aplikace jako Javu nebo hledat zranitelnosti a natvrdo zapsané přihlašovací údaje v Android aplikaci.

Testovací report

Zasadil jsem 6 realistických zranitelností (natvrdo zapsaný API klíč/heslo, MD5 hashování, SQL rawQuery skládané ze stringů, WebView s povoleným JS a addJavascriptInterface, MODE_WORLD_READABLE preference) do falešného dekompilovaného stromu: ad hoc baseline grep zachytil jen 2, zdokumentovaný Workflow-1 checklist skillu zachytil všech 6. Poznámka: samotný SKILL.md neodkazuje na žádné soubory, ale binárka jadx a JRE jsou vyžadovány a nejsou součástí balíčku — v tomto sandboxu nebylo dostupné ani jedno, takže samotná dekompilace (na rozdíl od grep workflow po dekompilaci) zůstala neotestovaná.

Testováno: 2026-07-13 · Claude Code 2.x (agent harness)

Instalace

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Příkazy a ukázkové prompty

  • /jadxDekompilace APK + systematický grep checklist na secrets, slabou kryptografii, SQLi a díry ve WebView.

Skilly se spouštějí běžnými požadavky — žádné příkazy k zapamatování. Po instalaci ho aktivují prompty jako tyto (anglicky):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes