Jadx
APK-Dekompilierung plus eine systematische Grep-Checkliste für Secrets, schwache Kryptografie, SQLi und WebView-Lücken.
Funktioniert mit Setup
Was es kann
Umhüllt den jadx-DEX-zu-Java-Dekompiler mit einem dokumentierten CLI-/GUI-Workflow und einer Sicherheitsanalyse-Checkliste, die hartcodierte Secrets, schwache Kryptografie, SQL-Injection, unsichere Speicherung und WebView-Schwachstellen abdeckt. Triggert, wenn der Nutzer eine APK dekompilieren, App-Logik als Java lesen oder in einer Android-App nach Schwachstellen und hartcodierten Zugangsdaten suchen möchte.
Testbericht
6 realistische Schwachstellen (hartcodierter API-Key/Passwort, MD5-Hashing, String-verkettete SQL-rawQuery, JS-aktiviertes WebView mit addJavascriptInterface, MODE_WORLD_READABLE-Prefs) in einem fingierten dekompilierten Baum platziert: Ein Ad-hoc-Baseline-Grep fand nur 2, die dokumentierte Workflow-1-Checkliste des Skills fand alle 6. Hinweis: Aus der SKILL.md selbst wird keine Datei referenziert, aber die jadx-Binary plus eine JRE werden benötigt und sind nicht mitgeliefert -- keines von beidem war in dieser Sandbox verfügbar, sodass die Dekompilierung selbst (im Gegensatz zum Post-Dekompilierungs-Grep-Workflow) ungetestet blieb.
Getestet am: 2026-07-13 · Claude Code 2.x (agent harness)
Installation
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Befehle & Beispiel-Prompts
/jadxAPK-Dekompilierung plus eine systematische Grep-Checkliste für Secrets, schwache Kryptografie, SQLi und WebView-Lücken.
Skills reagieren auf normale Anfragen — keine Slash-Befehle nötig. Nach der Installation aktivieren Prompts wie diese den Skill (auf Englisch):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes