HackTricksAndroid APK kontrolna lista
Reading time: 6 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Learn Android fundamentals
- Basics
- Dalvik & Smali
- Entry points
- Activities
- URL Schemes
- Content Providers
- Services
- Broadcast Receivers
- Intents
- Intent Filter
- Other components
- How to use ADB
- How to modify Smali
Static Analysis
- Proverite upotrebu obfuscation, provere vezane za detekciju da li je mobilni uređaj rooted, da li se koristi emulator i anti-tamper provere. Read this for more info.
- Osetljive aplikacije (npr. bankarske) treba da provere da li je mobilni uređaj rooted i da postupaju u skladu s tim.
- Pretražite interesting strings (lozinke, URL-ove, API-je, enkripciju, backdoor-e, tokene, Bluetooth uuids...).
- Posebna pažnja na firebase APIs.
- Read the manifest:
- Proverite da li je aplikacija u debug modu i pokušajte da je "iskoristite"
- Proverite da li APK dozvoljava backups
- Exported Activities
-
Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity sa
unityCLI extras bridge. Testirajte-xrsdk-pre-init-library <abs-path>za pre-initdlopen()RCE. See Intent Injection → Unity Runtime. - Content Providers
- Exposed services
- Broadcast Receivers
- URL Schemes
- Da li aplikacija saving data insecurely internally or externally?
- Da li postoji bilo kakva password hard coded or saved in disk? Da li aplikacija koristi insecurely crypto algorithms?
- Sve biblioteke su kompajlirane koristeći PIE flag?
- Ne zaboravite da postoji gomila static Android Analyzers koji vam mogu mnogo pomoći u ovoj fazi.
-
android:exportedmandatory on Android 12+ – pogrešno konfigurisane eksportovane komponente mogu dovesti do eksternog pozivanja intent-a. -
Pregledajte Network Security Config (
networkSecurityConfigXML) zbogcleartextTrafficPermitted="true"ili domen-specifičnih override-a. - Tražite pozive ka Play Integrity / SafetyNet / DeviceCheck – proverite da li se custom attestation može hook-ovati/zaobići.
-
Inspektujte App Links / Deep Links (
android:autoVerify) zbog mogućih problema sa preusmeravanjem intent-a ili open-redirect-om. -
Identifikujte upotrebu WebView.addJavascriptInterface ili
loadData*()koje mogu dovesti do RCE / XSS unutar aplikacije. -
Analizirajte cross-platform bundle-ove (Flutter
libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Dedicated tooling: flutter-packer,fluttersign,rn-differ- Skenirajte third-party native biblioteke za poznate CVE-e (npr. libwebp CVE-2023-4863, libpng, itd.).
- Procijenite rezultate SEMgrep Mobile rules, Pithus i najnoviji MobSF ≥ 3.9 AI-assisted sken za dodatna nalaza.
Dynamic Analysis
- Pripremite okruženje (online, local VM or physical)
- Da li postoji bilo kakvo unintended data leakage (logging, copy/paste, crash logs)?
- Confidential information being saved in SQLite dbs?
- Exploitable exposed Activities?
- Exploitable Content Providers?
- Exploitable exposed Services?
- Exploitable Broadcast Receivers?
- Da li aplikacija transmitting information in clear text/using weak algorithms? da li je MitM moguć?
- Inspect HTTP/HTTPS traffic
- Ovo je zaista važno — ako možete uhvatiti HTTP saobraćaj možete tražiti uobičajene Web ranjivosti (Hacktricks sadrži puno informacija o Web vulns).
- Proverite moguće Android Client Side Injections (malo statičke analize koda može pomoći ovde)
- Frida: Samo Frida, koristite je da dobijete interesantne dinamičke podatke iz aplikacije (možda neke lozinke...)
- Testirajte za Tapjacking / Animation-driven attacks (TapTrap 2025) čak i na Android 15+ (nije potrebna overlay dozvola).
- Pokušajte overlay / SYSTEM_ALERT_WINDOW clickjacking i Accessibility Service abuse za eskalaciju privilegija.
-
Proverite da li
adb backup/bmgr backupnowjoš uvek mogu da dump-uju podatke aplikacije (aplikacije koje su zaboravile da onemogućeallowBackup). - Istražite Binder-level LPEs (npr. CVE-2023-20963, CVE-2023-20928); koristite kernel fuzzere ili PoC-e ako je dozvoljeno.
-
Ako je Play Integrity / SafetyNet primenjen, pokušajte runtime hook-ove (
Frida Gadget,MagiskIntegrityFix,Integrity-faker) ili replay na mrežnom nivou. - Instrumentujte sa modernim alatima:
- Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
- Dynamic system-wide tracing with
perfetto/simpleperf.
Some obfuscation/Deobfuscation information
Reference
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.