Jadx

APK-Dekompilierung plus eine systematische Grep-Checkliste für Secrets, schwache Kryptografie, SQLi und WebView-Lücken.

von BrownFineSecurity · BrownFineSecurity/iothackbot

Funktioniert mit Setup ★ 9.6/10

Jadx — APK-Dekompilierung plus eine systematische Grep-Checkliste für Secrets, schwache Kryptografie, SQLi und WebView-Lücken.

Was es kann

Umhüllt den jadx-DEX-zu-Java-Dekompiler mit einem dokumentierten CLI-/GUI-Workflow und einer Sicherheitsanalyse-Checkliste, die hartcodierte Secrets, schwache Kryptografie, SQL-Injection, unsichere Speicherung und WebView-Schwachstellen abdeckt. Triggert, wenn der Nutzer eine APK dekompilieren, App-Logik als Java lesen oder in einer Android-App nach Schwachstellen und hartcodierten Zugangsdaten suchen möchte.

Testbericht

6 realistische Schwachstellen (hartcodierter API-Key/Passwort, MD5-Hashing, String-verkettete SQL-rawQuery, JS-aktiviertes WebView mit addJavascriptInterface, MODE_WORLD_READABLE-Prefs) in einem fingierten dekompilierten Baum platziert: Ein Ad-hoc-Baseline-Grep fand nur 2, die dokumentierte Workflow-1-Checkliste des Skills fand alle 6. Hinweis: Aus der SKILL.md selbst wird keine Datei referenziert, aber die jadx-Binary plus eine JRE werden benötigt und sind nicht mitgeliefert -- keines von beidem war in dieser Sandbox verfügbar, sodass die Dekompilierung selbst (im Gegensatz zum Post-Dekompilierungs-Grep-Workflow) ungetestet blieb.

Getestet am: 2026-07-13 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Befehle & Beispiel-Prompts

  • /jadxAPK-Dekompilierung plus eine systematische Grep-Checkliste für Secrets, schwache Kryptografie, SQLi und WebView-Lücken.

Skills reagieren auf normale Anfragen — keine Slash-Befehle nötig. Nach der Installation aktivieren Prompts wie diese den Skill (auf Englisch):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes