Jadx
Descompilación de APK más una lista sistemática de grep para secretos, criptografía débil, SQLi y agujeros en WebView.
Funciona con configuración
Qué hace
Envuelve el descompilador DEX-a-Java jadx con un flujo de trabajo documentado de CLI/GUI y una lista de comprobación de análisis de seguridad que cubre secretos hardcodeados, criptografía débil, inyección SQL, almacenamiento inseguro y vulnerabilidades de WebView. Se activa cuando el usuario quiere descompilar un APK, leer la lógica de la app como Java, o buscar vulnerabilidades y credenciales hardcodeadas en una app de Android.
Informe de la prueba
Se plantaron 6 vulnerabilidades realistas (clave API/contraseña hardcodeada, hash MD5, SQL rawQuery por concatenación de strings, WebView con JS habilitado y addJavascriptInterface, prefs con MODE_WORLD_READABLE) en un árbol falso ya descompilado: un grep base improvisado detectó solo 2, la lista de comprobación documentada del Workflow-1 de la skill detectó las 6. Nota: el propio SKILL.md no referencia ningún archivo, pero se requieren el binario de jadx y un JRE que no vienen incluidos -- ninguno de los dos estaba disponible en este sandbox, así que la descompilación en sí (a diferencia del flujo de grep posterior) quedó sin probar.
Probado el: 2026-07-13 · Claude Code 2.x (agent harness)
Instalación
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Comandos y prompts de ejemplo
/jadxDescompilación de APK más una lista sistemática de grep para secretos, criptografía débil, SQLi y agujeros en WebView.
Los skills se activan con peticiones en lenguaje natural, sin comandos que memorizar. Tras instalarlo, prompts como estos lo activan (en inglés):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes