Android APK Kontrol Listesi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Android temel bilgilerini öğrenin

• Temeller
• Dalvik & Smali
• Giriş noktaları
• Activities
• URL Şemaları
• Content Providers
• Services
• Broadcast Receivers
• Intents
• Intent Filter
• Diğer bileşenler
• ADB nasıl kullanılır
• Smali nasıl değiştirilir

Statik Analiz

• Obfuscation kullanımı için kontrol et, mobilin rootlu olup olmadığını, emülatör kullanılıp kullanılmadığını ve anti-tampering kontrollerini not et. Daha fazla bilgi için burayı oku.
• Hassas uygulamalar (ör. banka uygulamaları) mobilin rootlu olup olmadığını kontrol etmeli ve buna göre davranmalıdır.
• İlginç stringleri ara (parolalar, URL’ler, API, şifreleme, backdoor’lar, token’lar, Bluetooth uuid’leri…).
• Özellikle firebase API’lerine dikkat.
• Manifesti oku:
• Uygulamanın debug modunda olup olmadığını kontrol et ve “exploit” etmeyi dene
• APK’nin backuplara izin verip vermediğini kontrol et
• Exported Activities
• Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity ile unity CLI extras bridge. Pre-init dlopen() RCE için -xrsdk-pre-init-library <abs-path> test et. Bkz. Intent Injection → Unity Runtime.
• Content Providers
• Açık servisler
• Broadcast Receivers
• URL Şemaları
• Uygulama verileri dahili veya harici olarak güvensiz bir şekilde saklıyor mu? (insecure data storage)
• Disk üzerinde hard-coded veya kayıtlı herhangi bir parola var mı? (poorkeymanagementprocesses) Uygulama güvensiz kripto algoritmaları mı kullanıyor? (useofinsecureandordeprecatedalgorithms)
• Tüm kütüphaneler PIE flag ile derlenmiş mi?
• Bu aşamada yardımcı olabilecek birçok statik Android analiz aracı olduğunu unutma.
• android:exported Android 12+ için zorunlu – yanlış yapılandırılmış exported bileşenler dış intent çağrılarına yol açabilir.
• Network Security Config (networkSecurityConfig XML) içinde cleartextTrafficPermitted="true" veya domain bazlı override’ları incele.
• Play Integrity / SafetyNet / DeviceCheck çağrılarını ara – özel attestation’ın hook/bypass edilip edilemeyeceğini belirle.
• App Links / Deep Links (android:autoVerify) içindeki intent-yonlendirme veya open-redirect sorunlarını incele.
• WebView.addJavascriptInterface veya loadData*() kullanımını, uygulama içinde RCE / XSS’e yol açıp açmayacağını belirle.
• Cross-platform bundle’ları (Flutter libapp.so, React-Native JS bundle’ları, Capacitor/Ionic asset’leri) analiz et. Özel araçlar:
• flutter-packer, fluttersign, rn-differ
• Üçüncü taraf native kütüphaneleri bilinen CVE’ler açısından tara (ör. libwebp CVE-2023-4863, libpng, vb.).
• Ek bulgular için SEMgrep Mobile rules, Pithus ve son MobSF ≥ 3.9 AI destekli tarama sonuçlarını değerlendir.

Dinamik Analiz

• Ortamı hazırla (online, lokal VM veya fiziksel)
• Herhangi bir unintended data leakage (logging, copy/paste, crash logları) var mı?
• Gizli bilgiler SQLite db’lerde saklanıyor mu?
• Exploit edilebilir exported Activities?
• Exploit edilebilir Content Providers?
• Exploit edilebilir exposed Services?
• Exploit edilebilir Broadcast Receivers?
• Uygulama bilgileri açık metin/ zayıf algoritmalarla iletiyor mu? (insufficient-transport-layer-protection) MitM mümkün mü?
• HTTP/HTTPS trafiğini incele
• Bu çok önemli: HTTP trafiğini yakalayabilirsen, yaygın Web zafiyetleri için arama yapabilirsin (Hacktricks web vuln’leri hakkında çok bilgi içerir).
• Olası Android Client Side Injections için test et (muhtemelen statik kod analizi yardımcı olur)
• Frida: Sadece Frida; uygulamadan ilginç dinamik veriler almak için kullan (belki bazı parolalar…)
• Tapjacking / Animation-driven attacks (TapTrap 2025) için test et, Android 15+ üzerinde bile (overlay izni gerekmez).
• Overlay / SYSTEM_ALERT_WINDOW clickjacking ve Accessibility Service kötüye kullanımını ayrıcalık yükseltme için dene.
• adb backup / bmgr backupnow hala uygulama verilerini dökebiliyor mu kontrol et (allowBackup’ı kapatmayı unutan uygulamalar).
• Binder-level LPE’leri için probe yap (ör. CVE-2023-20963, CVE-2023-20928); izinliyse kernel fuzzers veya PoC’lar kullan.
• Play Integrity / SafetyNet uygulanıyorsa, runtime hook’ları dene (Frida Gadget, MagiskIntegrityFix, Integrity-faker) veya network-seviyesi replay yap.
• Modern araçlarla enstrümante et:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• perfetto / simpleperf ile sistem çapında dinamik tracing.

Bazı obfuscation/Deobfuscation bilgileri

• Burayı oku

Referanslar

• CVE-2025-59489 – Arbitrary Code Execution in Unity Runtime (blog)

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.