Jadx

Dekompilacja APK + systematyczna checklista grep pod kątem sekretów, słabej kryptografii, SQLi i dziur w WebView.

Autor: BrownFineSecurity · BrownFineSecurity/iothackbot

Działa po konfiguracji ★ 9.6/10

Jadx — Dekompilacja APK + systematyczna checklista grep pod kątem sekretów, słabej kryptografii, SQLi i dziur w WebView.

Co robi ten skill

Obudowuje dekompilator jadx (DEX na Java) udokumentowanym przepływem pracy CLI/GUI oraz checklistą analizy bezpieczeństwa obejmującą zaszyte na stałe sekrety, słabą kryptografię, wstrzykiwanie SQL, niebezpieczne przechowywanie danych i podatności WebView. Uruchamia się, gdy użytkownik chce zdekompilować APK, odczytać logikę aplikacji jako kod Java lub poszukać podatności i zaszytych poświadczeń w aplikacji na Androida.

Raport z testu

Podrzucono 6 realistycznych podatności (zaszyty klucz API/hasło, hashowanie MD5, SQL rawQuery budowany przez konkatenację stringów, WebView z włączonym JS i addJavascriptInterface, uprawnienia MODE_WORLD_READABLE) w sztucznym drzewie po dekompilacji: doraźny bazowy grep wyłapał tylko 2, udokumentowana checklista Workflow-1 skilla wyłapała wszystkie 6. Uwaga: sam plik SKILL.md nie odwołuje się do żadnych plików, ale wymagane są binarka jadx oraz JRE, które nie są dołączone -- żadne z nich nie było dostępne w tej piaskownicy, więc sama dekompilacja (w odróżnieniu od przepływu grep po dekompilacji) pozostała nieprzetestowana.

Testowano: 2026-07-13 · Claude Code 2.x (agent harness)

Instalacja

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Komendy i przykładowe prompty

  • /jadxDekompilacja APK + systematyczna checklista grep pod kątem sekretów, słabej kryptografii, SQLi i dziur w WebView.

Skille uruchamiają się na zwykłe polecenia — bez komend do zapamiętania. Po instalacji aktywują go prompty takie jak te (po angielsku):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes