Jadx

APK-decompilatie + een systematische grep-checklist voor secrets, zwakke crypto, SQLi en WebView-gaten.

Door BrownFineSecurity · BrownFineSecurity/iothackbot

Werkt met setup ★ 9.6/10

Jadx — APK-decompilatie + een systematische grep-checklist voor secrets, zwakke crypto, SQLi en WebView-gaten.

Wat het doet

Verpakt de jadx DEX-naar-Java-decompiler met een gedocumenteerde CLI/GUI-workflow en een security-analysechecklist voor hardcoded secrets, zwakke crypto, SQL-injectie, onveilige opslag en WebView-kwetsbaarheden. Triggert wanneer de gebruiker een APK wil decompileren, applogica als Java wil lezen, of wil jagen op kwetsbaarheden en hardcoded credentials in een Android-app.

Testrapport

Plaatste 6 realistische kwetsbaarheden (hardcoded API-key/wachtwoord, MD5-hashing, SQL rawQuery via string-concat, JS-enabled WebView met addJavascriptInterface, MODE_WORLD_READABLE-prefs) in een nagemaakte gedecompileerde boom: een ad-hoc baseline-grep ving er slechts 2, de gedocumenteerde Workflow-1-checklist van de skill ving alle 6. Let op: SKILL.md zelf verwijst naar geen enkel bestand, maar de jadx-binary + een JRE zijn vereist en niet meegeleverd — geen van beide was beschikbaar in deze sandbox, dus de decompilatie zelf (in tegenstelling tot de post-decompile grep-workflow) is niet getest.

Getest op: 2026-07-13 · Claude Code 2.x (agent harness)

Installatie

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Commando's en voorbeeldprompts

  • /jadxAPK-decompilatie + een systematische grep-checklist voor secrets, zwakke crypto, SQLi en WebView-gaten.

Skills reageren op gewone verzoeken — geen commando's om te onthouden. Na installatie activeren prompts zoals deze de skill (in het Engels):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes