HackTricksAndroid APK Checklist
Reading time: 5 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Learn Android fundamentals
- Osnovi
- Dalvik & Smali
- Ulazne tačke
- Aktivnosti
- URL sheme
- Provajderi sadržaja
- Servisi
- Broadcast prijemnici
- Intenti
- Filter inteta
- Ostale komponente
- Kako koristiti ADB
- Kako modifikovati Smali
Static Analysis
- Proverite upotrebu obfuskacije, proverite da li je mobilni uređaj root-ovan, da li se koristi emulator i provere protiv manipulacije. Pročitajte ovo za više informacija.
- Osetljive aplikacije (kao što su bankarske aplikacije) treba da provere da li je mobilni uređaj root-ovan i da reaguju u skladu s tim.
- Pretražujte interesantne stringove (lozinke, URL-ove, API, enkripciju, backdoor-e, tokene, Bluetooth uuids...).
- Posebna pažnja na firebase API-je.
- Pročitajte manifest:
- Proverite da li je aplikacija u režimu debagovanja i pokušajte da je "iskoristite"
- Proverite da li APK dozvoljava pravljenje rezervnih kopija
- Izvezene aktivnosti
- Provajderi sadržaja
- Izloženi servisi
- Broadcast prijemnici
- URL sheme
- Da li aplikacija čuva podatke nesigurno interno ili eksterno?
- Da li postoji neka lozinka hardkodirana ili sačuvana na disku? Da li aplikacija koristi nesigurne kripto algoritme?
- Da li su sve biblioteke kompajlirane koristeći PIE flag?
- Ne zaboravite da postoji mnogo statickih Android analitičara koji vam mogu mnogo pomoći tokom ove faze.
-
android:exportedobavezno na Android 12+ – pogrešno konfigurisani izvezene komponente mogu dovesti do spoljne invokacije inteta. -
Pregledajte Network Security Config (
networkSecurityConfigXML) zacleartextTrafficPermitted="true"ili specifične domenske preklapanja. - Potražite pozive ka Play Integrity / SafetyNet / DeviceCheck – utvrdite da li se može zaobići prilagođena attestacija.
-
Istražite App Links / Deep Links (
android:autoVerify) zbog problema sa preusmeravanjem inteta ili otvorenim preusmeravanjima. -
Identifikujte upotrebu WebView.addJavascriptInterface ili
loadData*()koje mogu dovesti do RCE / XSS unutar aplikacije. -
Analizirajte cross-platform pakete (Flutter
libapp.so, React-Native JS paketi, Capacitor/Ionic resursi). Posvećeni alati: flutter-packer,fluttersign,rn-differ- Skenerite treće strane native biblioteke za poznate CVE (npr., libwebp CVE-2023-4863, libpng, itd.).
- Procijenite SEMgrep Mobile pravila, Pithus i najnovije MobSF ≥ 3.9 AI-pomoćene rezultate skeniranja za dodatne nalaze.
Dynamic Analysis
- Pripremite okruženje (online, lokalna VM ili fizička)
- Da li postoji neka neprikazana curenje podataka (logovanje, kopiranje/lepiti, logovi grešaka)?
- Poverljive informacije se čuvaju u SQLite bazama podataka?
- Iskorišćene izložene aktivnosti?
- Iskorišćeni provajderi sadržaja?
- Iskorišćeni izloženi servisi?
- Iskorišćeni Broadcast prijemnici?
- Da li aplikacija prenosi informacije u čistom tekstu/koristi slabe algoritme? Da li je MitM moguć?
- Istražite HTTP/HTTPS saobraćaj
- Ovo je zaista važno, jer ako možete uhvatiti HTTP saobraćaj možete tražiti uobičajene Web ranjivosti (Hacktricks ima mnogo informacija o Web ranjivostima).
- Proverite moguće Android klijentske strane injekcije (verovatno će neka statička analiza koda pomoći ovde)
- Frida: Samo Frida, koristite je za dobijanje interesantnih dinamičkih podataka iz aplikacije (možda neke lozinke...)
- Testirajte za Tapjacking / napade vođene animacijom (TapTrap 2025) čak i na Android 15+ (nije potrebna dozvola za preklapanje).
- Pokušajte overlay / SYSTEM_ALERT_WINDOW clickjacking i zloupotrebu usluge pristupa za eskalaciju privilegija.
-
Proverite da li
adb backup/bmgr backupnowjoš uvek može da izvuče podatke aplikacije (aplikacije koje su zaboravile da onemogućeallowBackup). - Istražite Binder-level LPEs (npr., CVE-2023-20963, CVE-2023-20928); koristite kernel fuzzere ili PoC-ove ako je dozvoljeno.
-
Ako je Play Integrity / SafetyNet primenjen, pokušajte runtime hook-ove (
Frida Gadget,MagiskIntegrityFix,Integrity-faker) ili ponavljanje na mrežnom nivou. - Instrumentujte sa modernim alatima:
- Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
- Dinamičko praćenje sistema sa
perfetto/simpleperf.
Some obfuscation/Deobfuscation information
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.