Jadx
Décompilation d'APK + checklist grep systématique pour secrets, crypto faible, injection SQL et failles WebView.
Fonctionne avec configuration
Ce que fait
Enrobe le décompilateur DEX-vers-Java jadx avec un workflow CLI/GUI documenté et une checklist d'analyse de sécurité couvrant les secrets codés en dur, la crypto faible, l'injection SQL, le stockage non sécurisé et les vulnérabilités WebView. Se déclenche quand l'utilisateur veut décompiler un APK, lire la logique d'une app comme du Java, ou chasser les vulnérabilités et identifiants codés en dur dans une app Android.
Rapport de test
6 vulnérabilités réalistes ont été implantées (clé API/mot de passe codés en dur, hachage MD5, rawQuery SQL par concaténation de chaînes, WebView avec JS activé et addJavascriptInterface, préférences MODE_WORLD_READABLE) dans un arbre décompilé factice : un grep de référence ad hoc n'en a détecté que 2, la checklist documentée Workflow-1 du skill les a toutes détectées. Remarque : le SKILL.md lui-même ne référence aucun fichier, mais le binaire jadx et un JRE sont requis et ne sont pas fournis — aucun des deux n'était disponible dans ce bac à sable, donc la décompilation elle-même (par opposition au workflow grep post-décompilation) n'a pas pu être testée.
Testé le: 2026-07-13 · Claude Code 2.x (agent harness)
Installation
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Commandes et exemples de prompts
/jadxDécompilation d'APK + checklist grep systématique pour secrets, crypto faible, injection SQL et failles WebView.
Les skills se déclenchent sur des demandes en langage courant — aucune commande à retenir. Après installation, des prompts comme ceux-ci l'activent (en anglais) :
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes