HackTricksLista kontrolna Android APK
Tip
Ucz się i ćwicz Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Wsparcie dla HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.
Poznaj podstawy Androida
- Podstawy
- Dalvik & Smali
- Punkty wejścia
- Aktywności (Activities)
- URL Schemes
- Content Providers
- Services
- Broadcast Receivers
- Intents
- Intent Filter
- Inne komponenty
- Jak używać ADB
- Jak modyfikować Smali
Analiza statyczna
- Sprawdź użycie obfuskacji, sprawdzenia dotyczące wykrywania roota, emulatora i mechanizmów anti-tampering. Czytaj więcej.
- Aplikacje wrażliwe (np. bankowe) powinny sprawdzać, czy urządzenie jest zrootowane i odpowiednio reagować.
- Wyszukaj interesujące ciągi znaków (hasła, URL, API, szyfrowanie, backdoory, tokeny, Bluetooth uuids…).
- Szczególna uwaga na firebase API.
- Przeczytaj manifest:
- Sprawdź, czy aplikacja jest w trybie debug i spróbuj to “wykorzystać”
- Sprawdź, czy APK pozwala na backup
- Eksportowane Activities
- Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity z bridge CLI
unityw extras. Przetestuj-xrsdk-pre-init-library <abs-path>dla pre-initdlopen()RCE. Zobacz Intent Injection → Unity Runtime. - Content Providers
- Udostępnione usługi (exposed services)
- Broadcast Receivers
- URL Schemes
- Czy aplikacja zapisuje dane niebezpiecznie wewnętrznie lub zewnętrznie?
- Czy są jakieś hasła zakodowane na stałe lub zapisane na dysku? Czy aplikacja używa niebezpiecznych algorytmów kryptograficznych?
- Czy wszystkie biblioteki zostały skompilowane z flagą PIE?
- Nie zapomnij, że istnieje mnóstwo statycznych analizatorów Androida, które mogą bardzo pomóc w tej fazie.
-
android:exportedwymagane na Android 12+ – źle skonfigurowane eksportowane komponenty mogą prowadzić do zewnętrznej inicjacji intentów. - Przejrzyj Network Security Config (
networkSecurityConfigXML) pod kątemcleartextTrafficPermitted="true"lub wyjątków dla konkretnych domen. - Szukaj wywołań Play Integrity / SafetyNet / DeviceCheck – określ, czy custom attestation można podłączyć/pominąć.
- Zbadaj App Links / Deep Links (
android:autoVerify) pod kątem przekierowań intentów lub problemów typu open-redirect. - Zidentyfikuj użycie WebView.addJavascriptInterface lub
loadData*()które mogą prowadzić do RCE / XSS wewnątrz aplikacji. - Analizuj cross-platform bundles (Flutter
libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Narzędzia dedykowane: flutter-packer,fluttersign,rn-differ- Skanuj zewnętrzne natywne biblioteki pod kątem znanych CVE (np. libwebp CVE-2023-4863, libpng, itd.).
- Oceń reguły SEMgrep Mobile, Pithus oraz najnowsze wyniki skanów wspomaganych AI w MobSF ≥ 3.9 pod kątem dodatkowych znalezisk.
Analiza dynamiczna
- Przygotuj środowisko (online, lokalna VM lub urządzenie fizyczne)
- Czy występuje jakiekolwiek niezamierzone ujawnianie danych (logowanie, copy/paste, crash logi)?
- Poufne informacje zapisywane w bazach SQLite?
- Eksploitable exposed Activities?
- Eksploitable Content Providers?
- Eksploitable exposed Services?
- Eksploitable Broadcast Receivers?
- Czy aplikacja transmituje informacje w postaci jawnego tekstu/używa słabych algorytmów? czy MitM jest możliwy?
- Inspekcja ruchu HTTP/HTTPS
- To jest naprawdę ważne — jeśli możesz przechwycić ruch HTTP, możesz szukać typowych luk Web (Hacktricks ma dużo informacji o web vulns).
- Sprawdź możliwe Android Client Side Injections (pomocna może być statyczna analiza kodu)
- Frida: Po prostu Frida, użyj jej, aby uzyskać interesujące dynamiczne dane z aplikacji (może jakieś hasła…)
- Testuj Tapjacking / Animation-driven attacks (TapTrap 2025) nawet na Android 15+ (bez wymaganego uprawnienia overlay).
- Spróbuj overlay / SYSTEM_ALERT_WINDOW clickjacking oraz nadużyć Accessibility Service dla eskalacji uprawnień.
- Sprawdź, czy
adb backup/bmgr backupnownadal mogą zrzucić dane aplikacji (aplikacje, które zapomniały wyłączyćallowBackup). - Szukaj Binder-level LPEs (np. CVE-2023-20963, CVE-2023-20928); użyj fuzzers jądra lub PoC jeśli dozwolone.
- Jeśli Play Integrity / SafetyNet jest egzekwowane, spróbuj hooków w runtime (
Frida Gadget,MagiskIntegrityFix,Integrity-faker) lub replayu na poziomie sieci. - Instrumentuj za pomocą nowoczesnych narzędzi:
- Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
- Dynamiczne śledzenie systemowe z
perfetto/simpleperf.
Some obfuscation/Deobfuscation information
Referencje
Tip
Ucz się i ćwicz Hacking AWS:
Ucz się i ćwicz Hacking GCP:Wsparcie dla HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.