Jadx
Dekompilacja APK + systematyczna checklista grep pod kątem sekretów, słabej kryptografii, SQLi i dziur w WebView.
Działa po konfiguracji
Co robi ten skill
Obudowuje dekompilator jadx (DEX na Java) udokumentowanym przepływem pracy CLI/GUI oraz checklistą analizy bezpieczeństwa obejmującą zaszyte na stałe sekrety, słabą kryptografię, wstrzykiwanie SQL, niebezpieczne przechowywanie danych i podatności WebView. Uruchamia się, gdy użytkownik chce zdekompilować APK, odczytać logikę aplikacji jako kod Java lub poszukać podatności i zaszytych poświadczeń w aplikacji na Androida.
Raport z testu
Podrzucono 6 realistycznych podatności (zaszyty klucz API/hasło, hashowanie MD5, SQL rawQuery budowany przez konkatenację stringów, WebView z włączonym JS i addJavascriptInterface, uprawnienia MODE_WORLD_READABLE) w sztucznym drzewie po dekompilacji: doraźny bazowy grep wyłapał tylko 2, udokumentowana checklista Workflow-1 skilla wyłapała wszystkie 6. Uwaga: sam plik SKILL.md nie odwołuje się do żadnych plików, ale wymagane są binarka jadx oraz JRE, które nie są dołączone -- żadne z nich nie było dostępne w tej piaskownicy, więc sama dekompilacja (w odróżnieniu od przepływu grep po dekompilacji) pozostała nieprzetestowana.
Testowano: 2026-07-13 · Claude Code 2.x (agent harness)
Instalacja
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Komendy i przykładowe prompty
/jadxDekompilacja APK + systematyczna checklista grep pod kątem sekretów, słabej kryptografii, SQLi i dziur w WebView.
Skille uruchamiają się na zwykłe polecenia — bez komend do zapamiętania. Po instalacji aktywują go prompty takie jak te (po angielsku):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes