Jadx

Décompilation d'APK + checklist grep systématique pour secrets, crypto faible, injection SQL et failles WebView.

par BrownFineSecurity · BrownFineSecurity/iothackbot

Fonctionne avec configuration ★ 9.6/10

Jadx — Décompilation d'APK + checklist grep systématique pour secrets, crypto faible, injection SQL et failles WebView.

Ce que fait

Enrobe le décompilateur DEX-vers-Java jadx avec un workflow CLI/GUI documenté et une checklist d'analyse de sécurité couvrant les secrets codés en dur, la crypto faible, l'injection SQL, le stockage non sécurisé et les vulnérabilités WebView. Se déclenche quand l'utilisateur veut décompiler un APK, lire la logique d'une app comme du Java, ou chasser les vulnérabilités et identifiants codés en dur dans une app Android.

Rapport de test

6 vulnérabilités réalistes ont été implantées (clé API/mot de passe codés en dur, hachage MD5, rawQuery SQL par concaténation de chaînes, WebView avec JS activé et addJavascriptInterface, préférences MODE_WORLD_READABLE) dans un arbre décompilé factice : un grep de référence ad hoc n'en a détecté que 2, la checklist documentée Workflow-1 du skill les a toutes détectées. Remarque : le SKILL.md lui-même ne référence aucun fichier, mais le binaire jadx et un JRE sont requis et ne sont pas fournis — aucun des deux n'était disponible dans ce bac à sable, donc la décompilation elle-même (par opposition au workflow grep post-décompilation) n'a pas pu être testée.

Testé le: 2026-07-13 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Commandes et exemples de prompts

  • /jadxDécompilation d'APK + checklist grep systématique pour secrets, crypto faible, injection SQL et failles WebView.

Les skills se déclenchent sur des demandes en langage courant — aucune commande à retenir. Après installation, des prompts comme ceux-ci l'activent (en anglais) :

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes