HackTricksAndroid APK Checklist
Reading time: 4 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
Android के मूलभूत ज्ञान को सीखें
- बुनियादी बातें
- Dalvik & Smali
- प्रवेश बिंदु
- गतिविधियाँ
- URL योजनाएँ
- सामग्री प्रदाता
- सेवाएँ
- ब्रॉडकास्ट रिसीवर्स
- इंटेंट्स
- इंटेंट फ़िल्टर
- अन्य घटक
- ADB का उपयोग कैसे करें
- Smali को कैसे संशोधित करें
स्थैतिक विश्लेषण
- Obfuscation के उपयोग की जांच करें, यह देखें कि मोबाइल रूटेड है या नहीं, क्या एक एमुलेटर का उपयोग किया जा रहा है और एंटी-टैम्परिंग जांचें। अधिक जानकारी के लिए पढ़ें।
- संवेदनशील अनुप्रयोगों (जैसे बैंक ऐप) को जांचना चाहिए कि मोबाइल रूटेड है या नहीं और इसके अनुसार कार्य करना चाहिए।
- दिलचस्प स्ट्रिंग्स (पासवर्ड, URL, API, एन्क्रिप्शन, बैकडोर, टोकन, ब्लूटूथ UUIDs...) की खोज करें।
- Firebase APIs पर विशेष ध्यान दें।
- Manifest पढ़ें:
- जांचें कि क्या अनुप्रयोग डिबग मोड में है और इसे "शोषण" करने की कोशिश करें
- जांचें कि क्या APK बैकअप की अनुमति देता है
- निर्यातित गतिविधियाँ
- सामग्री प्रदाता
- उजागर सेवाएँ
- ब्रॉडकास्ट रिसीवर्स
- URL योजनाएँ
- क्या अनुप्रयोग असुरक्षित रूप से आंतरिक या बाहरी डेटा सहेज रहा है?
- क्या कोई पासवर्ड हार्ड कोडेड या डिस्क में सहेजा गया है? क्या ऐप असुरक्षित क्रिप्टो एल्गोरिदम का उपयोग कर रहा है?
- क्या सभी पुस्तकालयों को PIE ध्वज का उपयोग करके संकलित किया गया है?
- यह न भूलें कि इस चरण के दौरान आपकी मदद करने के लिए कई स्थैतिक Android एनालाइज़र हैं।
गतिशील विश्लेषण
- वातावरण तैयार करें (ऑनलाइन, स्थानीय VM या भौतिक)
- क्या कोई अनपेक्षित डेटा लीक (लॉगिंग, कॉपी/पेस्ट, क्रैश लॉग) है?
- गोपनीय जानकारी SQLite डेटाबेस में सहेजी जा रही है?
- शोषण योग्य उजागर गतिविधियाँ?
- शोषण योग्य सामग्री प्रदाता?
- शोषण योग्य उजागर सेवाएँ?
- शोषण योग्य ब्रॉडकास्ट रिसीवर्स?
- क्या अनुप्रयोग स्पष्ट पाठ में जानकारी संचारित कर रहा है/कमजोर एल्गोरिदम का उपयोग कर रहा है? क्या MitM संभव है?
- HTTP/HTTPS ट्रैफ़िक का निरीक्षण करें
- यह वास्तव में महत्वपूर्ण है, क्योंकि यदि आप HTTP ट्रैफ़िक को कैप्चर कर सकते हैं तो आप सामान्य वेब कमजोरियों की खोज कर सकते हैं (Hacktricks में वेब कमजोरियों के बारे में बहुत सारी जानकारी है)।
- संभावित Android क्लाइंट साइड इंजेक्शन की जांच करें (संभवतः कुछ स्थैतिक कोड विश्लेषण यहाँ मदद करेगा)
- Frida: बस Frida, इसका उपयोग अनुप्रयोग से दिलचस्प गतिशील डेटा प्राप्त करने के लिए करें (शायद कुछ पासवर्ड...)
कुछ obfuscation/Deobfuscation जानकारी
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।