Android APK Λίστα Ελέγχου

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Μάθετε τα βασικά του Android

• Βασικά
• Dalvik & Smali
• Σημεία εισόδου
• Δραστηριότητες
• Σχήματα URL
• Content Providers
• Services
• Broadcast Receivers
• Intents
• Intent Filter
• Άλλα components
• Πώς να χρησιμοποιήσετε το ADB
• Πώς να τροποποιήσετε Smali

Στατική Ανάλυση

• Έλεγχος για χρήση obfuscation, έλεγχοι για να διαπιστωθεί αν το κινητό είναι rooted, αν χρησιμοποιείται emulator και έλεγχοι anti-tampering. Read this for more info.
• Οι ευαίσθητες εφαρμογές (όπως τραπεζικές εφαρμογές) πρέπει να ελέγχουν αν το κινητό είναι rooted και να αντιδρούν ανάλογα.
• Αναζήτηση για ενδιαφέροντα strings (passwords, URLs, API, encryption, backdoors, tokens, Bluetooth uuids…).
• Ιδιαίτερη προσοχή σε firebase APIs.
• Διαβάστε το manifest:
• Έλεγχος αν η εφαρμογή είναι σε debug mode και προσπάθεια “exploit” αυτής
• Έλεγχος αν το APK επιτρέπει backups
• Exported Activities
• Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
• Content Providers
• Exposed services
• Broadcast Receivers
• URL Schemes
• Αποθηκεύει η εφαρμογή δεδομένα με μη ασφαλή τρόπο εσωτερικά ή εξωτερικά; (android-app-pentesting/index.html#insecure-data-storage)
• Υπάρχει κάποιο password hard coded or saved in disk; η εφαρμογή χρησιμοποιεί ανασφαλείς κρυπτογραφικούς αλγόριθμους;
• Όλες οι βιβλιοθήκες έχουν μεταγλωττιστεί χρησιμοποιώντας το PIE flag;
• Μην ξεχνάτε ότι υπάρχει ένας όγκος από static Android Analyzers που μπορούν να σας βοηθήσουν πολύ σε αυτή τη φάση.
• android:exported υποχρεωτικό σε Android 12+ – οι λανθασμένα διαμορφωμένες exported components μπορούν να οδηγήσουν σε εξωτερική κλήση intent.
• Επανεξετάστε το Network Security Config (networkSecurityConfig XML) για cleartextTrafficPermitted="true" ή domain-specific overrides.
• Ψάξτε για κλήσεις σε Play Integrity / SafetyNet / DeviceCheck – προσδιορίστε αν το custom attestation μπορεί να γίνει hook/παρακάμψιμο.
• Εξετάστε τα App Links / Deep Links (android:autoVerify) για intent-redirection ή open-redirect issues.
• Εντοπίστε χρήση του WebView.addJavascriptInterface ή loadData*() που μπορεί να οδηγήσει σε RCE / XSS μέσα στην εφαρμογή.
• Αναλύστε cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Ειδικά εργαλεία:
• flutter-packer, fluttersign, rn-differ
• Σκανάρετε τρίτες native βιβλιοθήκες για γνωστά CVEs (π.χ., libwebp CVE-2023-4863, libpng, κ.ά.).
• Αξιολογήστε τους κανόνες SEMgrep Mobile, Pithus και τα τελευταία MobSF ≥ 3.9 AI-assisted scan results για επιπλέον ευρήματα.

Δυναμική Ανάλυση

• Προετοιμάστε το περιβάλλον (online, local VM or physical)
• Υπάρχει κάποια μη-επιθυμητή διαρροή δεδομένων (logging, copy/paste, crash logs);
• Εμπιστευτικές πληροφορίες αποθηκεύονται σε SQLite dbs;
• Εκμεταλλεύσιμες exported Activities;
• Εκμεταλλεύσιμα Content Providers;
• Εκμεταλλεύσιμες exposed Services;
• Εκμεταλλεύσιμα Broadcast Receivers;
• Η εφαρμογή μεταδίδει πληροφορίες σε clear text/χρησιμοποιεί αδύναμους αλγόριθμους (insufficient transport layer protection); είναι δυνατό ένα MitM;
• Επιθεώρηση HTTP/HTTPS traffic
• Αυτό είναι πολύ σημαντικό, γιατί αν μπορείτε να καταγράψετε το HTTP traffic μπορείτε να αναζητήσετε κοινές Web ευπάθειες (το Hacktricks έχει πολλές πληροφορίες για Web vulns).
• Ελέγξτε για πιθανές Android Client Side Injections (πιθανόν κάποια στατική ανάλυση κώδικα να βοηθήσει εδώ)
• Frida: Μόνο Frida, χρησιμοποιήστε την για να αποκτήσετε ενδιαφέροντα δυναμικά δεδομένα από την εφαρμογή (ίσως κάποια passwords…)
• Δοκιμάστε για Tapjacking / Animation-driven attacks (TapTrap 2025) ακόμη και σε Android 15+ (no overlay permission required).
• Προσπαθήστε overlay / SYSTEM_ALERT_WINDOW clickjacking και misuse του Accessibility Service για privilege escalation.
• Ελέγξτε αν adb backup / bmgr backupnow μπορούν ακόμα να αποθηκεύσουν τα δεδομένα της εφαρμογής (εφαρμογές που ξέχασαν να απενεργοποιήσουν allowBackup).
• Εξετάστε Binder-level LPEs (π.χ., CVE-2023-20963, CVE-2023-20928); χρησιμοποιήστε kernel fuzzers ή PoCs αν επιτρέπεται.
• Αν εφαρμόζεται Play Integrity / SafetyNet, δοκιμάστε runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) ή network-level replay.
• Instrumentation με σύγχρονα εργαλεία:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• Δυναμική system-wide καταγραφή με perfetto / simpleperf.

Κάποιες πληροφορίες για obfuscation/Deobfuscation

• Read here

Αναφορές

• CVE-2025-59489 – Arbitrary Code Execution in Unity Runtime (blog)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.