Jadx
APK-dekompilering + en systematisk grep-tjekliste til hemmeligheder, svag kryptering, SQLi og WebView-huller.
Virker med opsætning
Hvad det gør
Pakker jadx DEX-til-Java-dekompileren ind i et dokumenteret CLI/GUI-workflow og en sikkerhedsanalyse-tjekliste, der dækker hardkodede hemmeligheder, svag kryptering, SQL-injection, usikker lagring og WebView-sårbarheder. Udløses, når brugeren vil dekompilere en APK, læse app-logik som Java, eller jage sårbarheder og hardkodede legitimationsoplysninger i en Android-app.
Testrapport
Plantede 6 realistiske sårbarheder (hardkodet API-nøgle/adgangskode, MD5-hashing, streng-sammensat SQL rawQuery, JS-aktiveret WebView med addJavascriptInterface, MODE_WORLD_READABLE-præferencer) i et falsk dekompileret træ: en ad hoc baseline-grep fandt kun 2, skillets dokumenterede Workflow-1-tjekliste fandt alle 6. Bemærk: der refereres ikke til nogen filer fra selve SKILL.md, men jadx-binæren + en JRE er påkrævet og medfølger ikke — ingen af dem var tilgængelige i denne sandbox, så selve dekompileringen (i modsætning til grep-workflowet efter dekompilering) blev ikke testet.
Testet: 2026-07-13 · Claude Code 2.x (agent harness)
Installation
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Kommandoer og eksempelprompter
/jadxAPK-dekompilering + en systematisk grep-tjekliste til hemmeligheder, svag kryptering, SQLi og WebView-huller.
Skills udløses af almindelige forespørgsler — ingen kommandoer at huske. Efter installationen aktiverer prompter som disse skillen (på engelsk):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes