Jadx

Descompilación de APK más una lista sistemática de grep para secretos, criptografía débil, SQLi y agujeros en WebView.

Por BrownFineSecurity · BrownFineSecurity/iothackbot

Funciona con configuración ★ 9.6/10

Jadx — Descompilación de APK más una lista sistemática de grep para secretos, criptografía débil, SQLi y agujeros en WebView.

Qué hace

Envuelve el descompilador DEX-a-Java jadx con un flujo de trabajo documentado de CLI/GUI y una lista de comprobación de análisis de seguridad que cubre secretos hardcodeados, criptografía débil, inyección SQL, almacenamiento inseguro y vulnerabilidades de WebView. Se activa cuando el usuario quiere descompilar un APK, leer la lógica de la app como Java, o buscar vulnerabilidades y credenciales hardcodeadas en una app de Android.

Informe de la prueba

Se plantaron 6 vulnerabilidades realistas (clave API/contraseña hardcodeada, hash MD5, SQL rawQuery por concatenación de strings, WebView con JS habilitado y addJavascriptInterface, prefs con MODE_WORLD_READABLE) en un árbol falso ya descompilado: un grep base improvisado detectó solo 2, la lista de comprobación documentada del Workflow-1 de la skill detectó las 6. Nota: el propio SKILL.md no referencia ningún archivo, pero se requieren el binario de jadx y un JRE que no vienen incluidos -- ninguno de los dos estaba disponible en este sandbox, así que la descompilación en sí (a diferencia del flujo de grep posterior) quedó sin probar.

Probado el: 2026-07-13 · Claude Code 2.x (agent harness)

Instalación

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Comandos y prompts de ejemplo

  • /jadxDescompilación de APK más una lista sistemática de grep para secretos, criptografía débil, SQLi y agujeros en WebView.

Los skills se activan con peticiones en lenguaje natural, sin comandos que memorizar. Tras instalarlo, prompts como estos lo activan (en inglés):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes