Контрольний список Android APK

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Learn Android fundamentals

Static Analysis

  • Перевірте використання obfuscation, перевірки на виявлення, чи пристрій rooted, чи використовується емулятор та перевірки анти-темперінгу. Read this for more info.
  • Чутливі додатки (наприклад банківські) повинні перевіряти, чи мобільний пристрій rooted і діяти відповідно.
  • Search for interesting strings (паролі, URLs, API, encryption, backdoors, tokens, Bluetooth uuids…).
  • Особлива увага до firebase APIs.
  • Read the manifest:
  • Перевірте, чи додаток у режимі debug і спробуйте його “експлуатувати”
  • Перевірте, чи APK дозволяє резервне копіювання
  • Exported Activities
  • Unity Runtime: експортовані UnityPlayerActivity/UnityPlayerGameActivity з unity CLI extras bridge. Тестуйте -xrsdk-pre-init-library <abs-path> для pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
  • Content Providers
  • Exposed services
  • Broadcast Receivers
  • URL Schemes
  • Чи додаток saving data insecurely internally or externally?
  • Чи є якийсь password hard coded or saved in disk? Чи додаток using insecurely crypto algorithms?
  • Чи всі бібліотеки скомпільовані з використанням прапора PIE?
  • Не забувайте, що є купа static Android Analyzers, які можуть дуже допомогти на цьому етапі.
  • android:exported mandatory on Android 12+ – неправильно налаштовані exported components можуть призвести до зовнішнього виклику intent.
  • Перегляньте Network Security Config (networkSecurityConfig XML) на наявність cleartextTrafficPermitted="true" або доменно-специфічних переважень.
  • Шукайте виклики Play Integrity / SafetyNet / DeviceCheck – визначте, чи можна підключити або обійти custom attestation.
  • Перевірте App Links / Deep Links (android:autoVerify) на предмет intent-redirection або open-redirect проблем.
  • Визначте використання WebView.addJavascriptInterface або loadData*() яке може призвести до RCE / XSS всередині додатку.
  • Analyse cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Dedicated tooling:
  • flutter-packer, fluttersign, rn-differ
  • Скануйте сторонні native бібліотеки на відомі CVE (наприклад, libwebp CVE-2023-4863, libpng, тощо).
  • Оцініть SEMgrep Mobile rules, Pithus та останні результати AI-assisted сканування MobSF ≥ 3.9 для додаткових знахідок.

Dynamic Analysis

  • Підготуйте середовище (online, local VM or physical)
  • Чи є будь-яке unintended data leakage (логування, copy/paste, crash logs)?
  • Confidential information being saved in SQLite dbs?
  • Exploitable exposed Activities?
  • Exploitable Content Providers?
  • Exploitable exposed Services?
  • Exploitable Broadcast Receivers?
  • Чи додаток transmitting information in clear text/using weak algorithms? Чи можливий MitM?
  • Inspect HTTP/HTTPS traffic
  • Це дійсно важливо, бо якщо ви можете capture HTTP traffic ви можете шукати common Web vulnerabilities (Hacktricks має багато інформації про Web vulns).
  • Check for possible Android Client Side Injections (ймовірно статичний аналіз коду допоможе тут)
  • Frida: Just Frida, використовуйте її, щоб отримати цікаві динамічні дані з додатку (можливо якісь паролі…)
  • Test for Tapjacking / Animation-driven attacks (TapTrap 2025) even on Android 15+ (no overlay permission required).
  • Attempt overlay / SYSTEM_ALERT_WINDOW clickjacking and Accessibility Service abuse for privilege escalation.
  • Перевірте, чи adb backup / bmgr backupnow все ще можуть dump app data (додатки, що забули вимкнути allowBackup).
  • Probe for Binder-level LPEs (e.g., CVE-2023-20963, CVE-2023-20928); використовуйте kernel fuzzers або PoCs якщо дозволено.
  • Якщо Play Integrity / SafetyNet застосовується, спробуйте runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) або мережеве повторення (network-level replay).
  • Інструментуйте з сучасними інструментами:
  • Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
  • Динамічний system-wide tracing з perfetto / simpleperf.

Some obfuscation/Deobfuscation information

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks