Jadx

APK-dekompilering + en systematisk grep-sjekkliste for hemmeligheter, svak kryptering, SQLi og WebView-hull.

av BrownFineSecurity · BrownFineSecurity/iothackbot

Krever oppsett ★ 9.6/10

Jadx — APK-dekompilering + en systematisk grep-sjekkliste for hemmeligheter, svak kryptering, SQLi og WebView-hull.

Hva den gjør

Pakker inn jadx DEX-til-Java-dekompilatoren med en dokumentert CLI/GUI-arbeidsflyt og en sikkerhetsanalyse-sjekkliste som dekker hardkodede hemmeligheter, svak kryptering, SQL-injeksjon, usikker lagring og WebView-sårbarheter. Trigges når brukeren vil dekompilere en APK, lese app-logikk som Java, eller jakte på sårbarheter og hardkodede legitimasjoner i en Android-app.

Testrapport

Plantet 6 realistiske sårbarheter (hardkodet API-nøkkel/passord, MD5-hashing, streng-konkatenert SQL rawQuery, JS-aktivert WebView med addJavascriptInterface, MODE_WORLD_READABLE-preferanser) i et falskt dekompilert mappetre: en ad hoc baseline-grep fanget bare 2, skillets dokumenterte Workflow-1-sjekkliste fanget alle 6. Merk: ingen filer refereres fra selve SKILL.md, men jadx-binæren + en JRE kreves og følger ikke med — ingen av delene var tilgjengelige i denne sandboxen, så selve dekompileringen (i motsetning til grep-arbeidsflyten etter dekompilering) ble ikke testet.

Testet på: 2026-07-13 · Claude Code 2.x (agent harness)

Installer

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Kommandoer og eksempelprompter

  • /jadxAPK-dekompilering + en systematisk grep-sjekkliste for hemmeligheter, svak kryptering, SQLi og WebView-hull.

Skills utløses av vanlige forespørsler — ingen kommandoer å huske. Etter installasjonen aktiverer prompter som disse skillen (på engelsk):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes