Jadx

Decompilazione APK + una checklist grep sistematica per segreti, crittografia debole, SQLi e falle WebView.

di BrownFineSecurity · BrownFineSecurity/iothackbot

Richiede configurazione ★ 9.6/10

Jadx — Decompilazione APK + una checklist grep sistematica per segreti, crittografia debole, SQLi e falle WebView.

Cosa fa

Racchiude il decompilatore DEX-to-Java jadx in un workflow documentato CLI/GUI e una checklist di analisi di sicurezza che copre segreti hardcoded, crittografia debole, SQL injection, storage insicuro e vulnerabilità WebView. Si attiva quando l'utente vuole decompilare un APK, leggere la logica dell'app come Java, o cercare vulnerabilità e credenziali hardcoded in un'app Android.

Rapporto di test

Piantate 6 vulnerabilità realistiche (chiave API/password hardcoded, hashing MD5, rawQuery SQL con concatenazione di stringhe, WebView con JS abilitato e addJavascriptInterface, preferenze MODE_WORLD_READABLE) in un albero decompilato finto: un grep di base ad hoc ne ha trovate solo 2, la checklist Workflow-1 documentata dello skill le ha trovate tutte e 6. Nota: nessun file è referenziato dal SKILL.md stesso, ma sono richiesti il binario jadx e una JRE, non inclusi — nessuno dei due era disponibile in questa sandbox, quindi la decompilazione vera e propria (a differenza del workflow grep post-decompilazione) non è stata testata.

Testato il: 2026-07-13 · Claude Code 2.x (agent harness)

Installazione

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Comandi e prompt di esempio

  • /jadxDecompilazione APK + una checklist grep sistematica per segreti, crittografia debole, SQLi e falle WebView.

Gli skill si attivano con richieste in linguaggio naturale, senza comandi da ricordare. Dopo l'installazione, prompt come questi lo attivano (in inglese):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes