Jadx

APK-dekompilering + en systematisk grep-tjekliste til hemmeligheder, svag kryptering, SQLi og WebView-huller.

Af BrownFineSecurity · BrownFineSecurity/iothackbot

Virker med opsætning ★ 9.6/10

Jadx — APK-dekompilering + en systematisk grep-tjekliste til hemmeligheder, svag kryptering, SQLi og WebView-huller.

Hvad det gør

Pakker jadx DEX-til-Java-dekompileren ind i et dokumenteret CLI/GUI-workflow og en sikkerhedsanalyse-tjekliste, der dækker hardkodede hemmeligheder, svag kryptering, SQL-injection, usikker lagring og WebView-sårbarheder. Udløses, når brugeren vil dekompilere en APK, læse app-logik som Java, eller jage sårbarheder og hardkodede legitimationsoplysninger i en Android-app.

Testrapport

Plantede 6 realistiske sårbarheder (hardkodet API-nøgle/adgangskode, MD5-hashing, streng-sammensat SQL rawQuery, JS-aktiveret WebView med addJavascriptInterface, MODE_WORLD_READABLE-præferencer) i et falsk dekompileret træ: en ad hoc baseline-grep fandt kun 2, skillets dokumenterede Workflow-1-tjekliste fandt alle 6. Bemærk: der refereres ikke til nogen filer fra selve SKILL.md, men jadx-binæren + en JRE er påkrævet og medfølger ikke — ingen af dem var tilgængelige i denne sandbox, så selve dekompileringen (i modsætning til grep-workflowet efter dekompilering) blev ikke testet.

Testet: 2026-07-13 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Kommandoer og eksempelprompter

  • /jadxAPK-dekompilering + en systematisk grep-tjekliste til hemmeligheder, svag kryptering, SQLi og WebView-huller.

Skills udløses af almindelige forespørgsler — ingen kommandoer at huske. Efter installationen aktiverer prompter som disse skillen (på engelsk):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes