Jadx
APK-dekompilering + en systematisk grep-sjekkliste for hemmeligheter, svak kryptering, SQLi og WebView-hull.
Krever oppsett
Hva den gjør
Pakker inn jadx DEX-til-Java-dekompilatoren med en dokumentert CLI/GUI-arbeidsflyt og en sikkerhetsanalyse-sjekkliste som dekker hardkodede hemmeligheter, svak kryptering, SQL-injeksjon, usikker lagring og WebView-sårbarheter. Trigges når brukeren vil dekompilere en APK, lese app-logikk som Java, eller jakte på sårbarheter og hardkodede legitimasjoner i en Android-app.
Testrapport
Plantet 6 realistiske sårbarheter (hardkodet API-nøkkel/passord, MD5-hashing, streng-konkatenert SQL rawQuery, JS-aktivert WebView med addJavascriptInterface, MODE_WORLD_READABLE-preferanser) i et falskt dekompilert mappetre: en ad hoc baseline-grep fanget bare 2, skillets dokumenterte Workflow-1-sjekkliste fanget alle 6. Merk: ingen filer refereres fra selve SKILL.md, men jadx-binæren + en JRE kreves og følger ikke med — ingen av delene var tilgjengelige i denne sandboxen, så selve dekompileringen (i motsetning til grep-arbeidsflyten etter dekompilering) ble ikke testet.
Testet på: 2026-07-13 · Claude Code 2.x (agent harness)
Installer
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Kommandoer og eksempelprompter
/jadxAPK-dekompilering + en systematisk grep-sjekkliste for hemmeligheter, svak kryptering, SQLi og WebView-hull.
Skills utløses av vanlige forespørsler — ingen kommandoer å huske. Etter installasjonen aktiverer prompter som disse skillen (på engelsk):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes