Jadx
APK-decompilatie + een systematische grep-checklist voor secrets, zwakke crypto, SQLi en WebView-gaten.
Werkt met setup
Wat het doet
Verpakt de jadx DEX-naar-Java-decompiler met een gedocumenteerde CLI/GUI-workflow en een security-analysechecklist voor hardcoded secrets, zwakke crypto, SQL-injectie, onveilige opslag en WebView-kwetsbaarheden. Triggert wanneer de gebruiker een APK wil decompileren, applogica als Java wil lezen, of wil jagen op kwetsbaarheden en hardcoded credentials in een Android-app.
Testrapport
Plaatste 6 realistische kwetsbaarheden (hardcoded API-key/wachtwoord, MD5-hashing, SQL rawQuery via string-concat, JS-enabled WebView met addJavascriptInterface, MODE_WORLD_READABLE-prefs) in een nagemaakte gedecompileerde boom: een ad-hoc baseline-grep ving er slechts 2, de gedocumenteerde Workflow-1-checklist van de skill ving alle 6. Let op: SKILL.md zelf verwijst naar geen enkel bestand, maar de jadx-binary + een JRE zijn vereist en niet meegeleverd — geen van beide was beschikbaar in deze sandbox, dus de decompilatie zelf (in tegenstelling tot de post-decompile grep-workflow) is niet getest.
Getest op: 2026-07-13 · Claude Code 2.x (agent harness)
Installatie
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Commando's en voorbeeldprompts
/jadxAPK-decompilatie + een systematische grep-checklist voor secrets, zwakke crypto, SQLi en WebView-gaten.
Skills reageren op gewone verzoeken — geen commando's om te onthouden. Na installatie activeren prompts zoals deze de skill (in het Engels):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes