Jadx
APK-dekompilering + en systematisk grep-checklista för hemligheter, svag kryptering, SQLi och WebView-hål.
Fungerar med konfiguration
Vad den gör
Slår in jadx DEX-till-Java-dekompilatorn med ett dokumenterat CLI/GUI-arbetsflöde och en säkerhetsanalys-checklista som täcker hårdkodade hemligheter, svag kryptering, SQL-injektion, osäker lagring och WebView-sårbarheter. Triggas när användaren vill dekompilera en APK, läsa applogik som Java, eller jaga sårbarheter och hårdkodade inloggningsuppgifter i en Android-app.
Testrapport
Planterade 6 realistiska sårbarheter (hårdkodad API-nyckel/lösenord, MD5-hashning, sträng-konkatenerad SQL rawQuery, JS-aktiverad WebView med addJavascriptInterface, MODE_WORLD_READABLE-inställningar) i ett fejkat dekompilerat träd: en ad hoc-baslinjegrep fångade bara 2, skillens dokumenterade Workflow-1-checklista fångade alla 6. Notera: inga filer refereras från själva SKILL.md, men jadx-binären + ett JRE krävs och medföljer inte -- inget av dem fanns tillgängligt i denna sandbox, så själva dekompileringen (till skillnad från grep-arbetsflödet efter dekompilering) testades inte.
Testad: 2026-07-13 · Claude Code 2.x (agent harness)
Installation
git clone https://github.com/BrownFineSecurity/iothackbot cd iothackbot mkdir -p ~/.claude/skills cp -r skills/jadx ~/.claude/skills/jadx
Kommandon och exempelprompter
/jadxAPK-dekompilering + en systematisk grep-checklista för hemligheter, svag kryptering, SQLi och WebView-hål.
Skills triggas av vanliga förfrågningar — inga kommandon att memorera. Efter installationen aktiverar prompter som dessa skillen (på engelska):
Decompile this APK and check for hardcoded secrets and weak cryptoPull the Java source from this Android app and look for SQL injectionScan this app's decompiled code for WebView and insecure storage holes