Jadx
Dekompilace APK + systematický grep checklist na secrets, slabou kryptografii, SQLi a díry ve WebView.
Funguje s nastavením
Co umí
Obaluje dekompilátor jadx DEX-to-Java zdokumentovaným CLI/GUI workflow a bezpečnostním checklistem pokrývajícím natvrdo zapsané secrets, slabou kryptografii, SQL injection, nezabezpečené úložiště a zranitelnosti WebView. Spouští se, když chce uživatel dekompilovat APK, přečíst logiku aplikace jako Javu nebo hledat zranitelnosti a natvrdo zapsané přihlašovací údaje v Android aplikaci.
Testovací report
Zasadil jsem 6 realistických zranitelností (natvrdo zapsaný API klíč/heslo, MD5 hashování, SQL rawQuery skládané ze stringů, WebView s povoleným JS a addJavascriptInterface, MODE_WORLD_READABLE preference) do falešného dekompilovaného stromu: ad hoc baseline grep zachytil jen 2, zdokumentovaný Workflow-1 checklist skillu zachytil všech 6. Poznámka: samotný SKILL.md neodkazuje na žádné soubory, ale binárka jadx a JRE jsou vyžadovány a nejsou součástí balíčku — v tomto sandboxu nebylo dostupné ani jedno, takže samotná dekompilace (na rozdíl od grep workflow po dekompilaci) zůstala neotestovaná.
Testováno: 2026-07-13 · Claude Code 2.x (agent harness)
Instalace
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Příkazy a ukázkové prompty
/jadxDekompilace APK + systematický grep checklist na secrets, slabou kryptografii, SQLi a díry ve WebView.
Skilly se spouštějí běžnými požadavky — žádné příkazy k zapamatování. Po instalaci ho aktivují prompty jako tyto (anglicky):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes