Jadx
Decompilazione APK + una checklist grep sistematica per segreti, crittografia debole, SQLi e falle WebView.
Richiede configurazione
Cosa fa
Racchiude il decompilatore DEX-to-Java jadx in un workflow documentato CLI/GUI e una checklist di analisi di sicurezza che copre segreti hardcoded, crittografia debole, SQL injection, storage insicuro e vulnerabilità WebView. Si attiva quando l'utente vuole decompilare un APK, leggere la logica dell'app come Java, o cercare vulnerabilità e credenziali hardcoded in un'app Android.
Rapporto di test
Piantate 6 vulnerabilità realistiche (chiave API/password hardcoded, hashing MD5, rawQuery SQL con concatenazione di stringhe, WebView con JS abilitato e addJavascriptInterface, preferenze MODE_WORLD_READABLE) in un albero decompilato finto: un grep di base ad hoc ne ha trovate solo 2, la checklist Workflow-1 documentata dello skill le ha trovate tutte e 6. Nota: nessun file è referenziato dal SKILL.md stesso, ma sono richiesti il binario jadx e una JRE, non inclusi — nessuno dei due era disponibile in questa sandbox, quindi la decompilazione vera e propria (a differenza del workflow grep post-decompilazione) non è stata testata.
Testato il: 2026-07-13 · Claude Code 2.x (agent harness)
Installazione
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Comandi e prompt di esempio
/jadxDecompilazione APK + una checklist grep sistematica per segreti, crittografia debole, SQLi e falle WebView.
Gli skill si attivano con richieste in linguaggio naturale, senza comandi da ricordare. Dopo l'installazione, prompt come questi lo attivano (in inglese):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes