Android APK Checklist

Reading time: 6 minutes

Android के मूलभूत सिद्धांत सीखें

• बुनियादी बातें
• Dalvik & Smali
• प्रवेश बिंदु
• गतिविधियाँ
• URL योजनाएँ
• सामग्री प्रदाता
• सेवाएँ
• ब्रॉडकास्ट रिसीवर्स
• इंटेंट्स
• इंटेंट फ़िल्टर
• अन्य घटक
• ADB का उपयोग कैसे करें
• Smali को कैसे संशोधित करें

स्थैतिक विश्लेषण

• अवरोधन के उपयोग की जांच करें, यह देखें कि मोबाइल रूट किया गया है या नहीं, यदि एक एमुलेटर का उपयोग किया जा रहा है और एंटी-टैम्परिंग जांचें। अधिक जानकारी के लिए पढ़ें।
• संवेदनशील अनुप्रयोगों (जैसे बैंक ऐप) को जांचना चाहिए कि मोबाइल रूट किया गया है और इसके अनुसार कार्य करना चाहिए।
• दिलचस्प स्ट्रिंग्स (पासवर्ड, URL, API, एन्क्रिप्शन, बैकडोर, टोकन, ब्लूटूथ UUIDs...) की खोज करें।
• फायरबेस APIs पर विशेष ध्यान दें।
• मैनिफेस्ट पढ़ें:
• जांचें कि क्या अनुप्रयोग डिबग मोड में है और इसे "शोषण" करने का प्रयास करें
• जांचें कि क्या APK बैकअप की अनुमति देता है
• निर्यातित गतिविधियाँ
• सामग्री प्रदाता
• उजागर सेवाएँ
• ब्रॉडकास्ट रिसीवर्स
• URL योजनाएँ
• क्या अनुप्रयोग असुरक्षित रूप से आंतरिक या बाहरी डेटा सहेज रहा है?
• क्या कोई पासवर्ड हार्ड कोडेड या डिस्क में सहेजा गया है? क्या ऐप असुरक्षित क्रिप्टो एल्गोरिदम का उपयोग कर रहा है?
• क्या सभी पुस्तकालय PIE ध्वज का उपयोग करके संकलित हैं?
• यह न भूलें कि इस चरण के दौरान आपकी मदद करने के लिए कई स्थैतिक Android एनालाइज़र हैं।
• android:exported Android 12+ पर अनिवार्य – गलत कॉन्फ़िगर की गई निर्यातित घटक बाहरी इरादे के आह्वान का कारण बन सकती हैं।
• नेटवर्क सुरक्षा कॉन्फ़िग (networkSecurityConfig XML) की समीक्षा करें cleartextTrafficPermitted="true" या डोमेन-विशिष्ट ओवरराइड के लिए।
• Play Integrity / SafetyNet / DeviceCheck के लिए कॉल की तलाश करें – निर्धारित करें कि क्या कस्टम अटेस्टेशन को हुक/बायपास किया जा सकता है।
• ऐप लिंक / डीप लिंक (android:autoVerify) की जांच करें कि क्या इरादे-रीडायरेक्शन या ओपन-रीडायरेक्ट मुद्दे हैं।
• WebView.addJavascriptInterface या loadData*() के उपयोग की पहचान करें जो ऐप के अंदर RCE / XSS का कारण बन सकता है।
• क्रॉस-प्लेटफ़ॉर्म बंडलों का विश्लेषण करें (Flutter libapp.so, React-Native JS बंडल, Capacitor/Ionic संपत्तियाँ)। समर्पित उपकरण:
• flutter-packer, fluttersign, rn-differ
• ज्ञात CVEs (जैसे, libwebp CVE-2023-4863, libpng, आदि) के लिए तृतीय-पक्ष मूलभूत पुस्तकालयों को स्कैन करें।
• अतिरिक्त निष्कर्षों के लिए SEMgrep Mobile नियम, Pithus और नवीनतम MobSF ≥ 3.9 AI-सहायता प्राप्त स्कैन परिणामों का मूल्यांकन करें।

गतिशील विश्लेषण

• वातावरण तैयार करें (ऑनलाइन, स्थानीय VM या भौतिक)
• क्या कोई अनपेक्षित डेटा लीक (लॉगिंग, कॉपी/पेस्ट, क्रैश लॉग) है?
• गोपनीय जानकारी SQLite dbs में सहेजी जा रही है?
• शोषण योग्य उजागर गतिविधियाँ?
• शोषण योग्य सामग्री प्रदाता?
• शोषण योग्य उजागर सेवाएँ?
• क्या अनुप्रयोग स्पष्ट पाठ में जानकारी संचारित कर रहा है/कमजोर एल्गोरिदम का उपयोग कर रहा है? क्या MitM संभव है?
• HTTP/HTTPS ट्रैफ़िक की जांच करें
• यह वास्तव में महत्वपूर्ण है, क्योंकि यदि आप HTTP ट्रैफ़िक को कैप्चर कर सकते हैं तो आप सामान्य वेब कमजोरियों की खोज कर सकते हैं (Hacktricks के पास वेब कमजोरियों के बारे में बहुत सारी जानकारी है)।
• संभावित Android क्लाइंट साइड इंजेक्शन की जांच करें (संभवतः कुछ स्थैतिक कोड विश्लेषण यहाँ मदद करेगा)
• Frida: बस Frida, इसका उपयोग करें ताकि अनुप्रयोग से दिलचस्प गतिशील डेटा प्राप्त किया जा सके (शायद कुछ पासवर्ड...)
• Tapjacking / Animation-driven attacks (TapTrap 2025) के लिए परीक्षण करें, यहां तक कि Android 15+ पर (कोई ओवरले अनुमति आवश्यक नहीं)।
• ओवरले / SYSTEM_ALERT_WINDOW क्लिकजैकिंग और एक्सेसिबिलिटी सेवा दुरुपयोग के लिए विशेषाधिकार वृद्धि का प्रयास करें।
• जांचें कि क्या adb backup / bmgr backupnow अभी भी ऐप डेटा को डंप कर सकता है (ऐप्स जिन्होंने allowBackup को बंद करना भूल गए)।
• Binder-स्तरीय LPEs (जैसे, CVE-2023-20963, CVE-2023-20928) के लिए जांचें; यदि अनुमति हो तो कर्नेल फज़र्स या PoCs का उपयोग करें।
• यदि Play Integrity / SafetyNet लागू है, तो रनटाइम हुक का प्रयास करें (Frida Gadget, MagiskIntegrityFix, Integrity-faker) या नेटवर्क-स्तरीय पुनरावृत्ति।
• आधुनिक उपकरणों के साथ इंस्ट्रूमेंट करें:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• perfetto / simpleperf के साथ गतिशील प्रणाली-व्यापी ट्रेसिंग।

कुछ अवरोधन/डीअवरोधन जानकारी

• यहाँ पढ़ें