Android APK Checklist

Reading time: 7 minutes

学习 Android 基础

• 基础知识
• Dalvik & Smali
• 入口点
• 活动
• URL 方案
• 内容提供者
• 服务
• 广播接收器
• 意图
• 意图过滤器
• 其他组件
• 如何使用 ADB
• 如何修改 Smali

静态分析

• 检查是否使用了 混淆，检查手机是否被 root，是否使用了模拟器以及反篡改检查。阅读更多信息。
• 敏感应用（如银行应用）应检查手机是否被 root，并应采取相应措施。
• 搜索 有趣的字符串（密码、URL、API、加密、后门、令牌、蓝牙 UUID 等）。
• 特别注意 firebase API。
• 阅读清单：
• 检查应用是否处于调试模式并尝试“利用”它
• 检查 APK 是否允许备份
• 导出的活动
• 内容提供者
• 暴露的服务
• 广播接收器
• URL 方案
• 应用是否 不安全地内部或外部保存数据？
• 是否有任何 密码硬编码或保存在磁盘上？应用是否 使用不安全的加密算法？
• 所有库是否使用 PIE 标志编译？
• 不要忘记有一堆 静态 Android 分析工具 可以在此阶段帮助你。
• android:exported 在 Android 12+ 上是强制性的 – 配置错误的导出组件可能导致外部意图调用。
• 审查 网络安全配置 (networkSecurityConfig XML) 中的 cleartextTrafficPermitted="true" 或特定域覆盖。
• 查找对 Play Integrity / SafetyNet / DeviceCheck 的调用 – 确定是否可以钩住/绕过自定义证明。
• 检查 App Links / Deep Links (android:autoVerify) 是否存在意图重定向或开放重定向问题。
• 确定是否使用 WebView.addJavascriptInterface 或 loadData*() 可能导致应用内 RCE / XSS。
• 分析跨平台包（Flutter libapp.so，React-Native JS 包，Capacitor/Ionic 资产）。专用工具：
• flutter-packer，fluttersign，rn-differ
• 扫描第三方本地库以查找已知 CVE（例如，libwebp CVE-2023-4863，libpng 等）。
• 评估 SEMgrep Mobile 规则，Pithus 和最新的 MobSF ≥ 3.9 AI 辅助扫描结果以获取额外发现。

动态分析

• 准备环境（在线，本地 VM 或物理）
• 是否存在 意外数据泄露（日志记录、复制/粘贴、崩溃日志）？
• 机密信息是否保存在 SQLite 数据库中？
• 可利用的暴露活动？
• 可利用的内容提供者？
• 可利用的暴露服务？
• 可利用的广播接收器？
• 应用是否 以明文传输信息/使用弱算法？是否可能发生中间人攻击？
• 检查 HTTP/HTTPS 流量
• 这一点非常重要，因为如果你能捕获 HTTP 流量，你可以搜索常见的 Web 漏洞（Hacktricks 有很多关于 Web 漏洞的信息）。
• 检查可能的 Android 客户端侧注入（可能一些静态代码分析会在这里有所帮助）
• Frida：仅使用 Frida，从应用中获取有趣的动态数据（可能是一些密码...）
• 测试 Tapjacking / 动画驱动攻击（TapTrap 2025） 即使在 Android 15+ 上（不需要覆盖权限）。
• 尝试 覆盖 / SYSTEM_ALERT_WINDOW 点击劫持 和 无障碍服务滥用 以进行权限提升。
• 检查 adb backup / bmgr backupnow 是否仍然可以转储应用数据（忘记禁用 allowBackup 的应用）。
• 探测 Binder 级别 LPE（例如，CVE-2023-20963，CVE-2023-20928）；如果允许，使用内核模糊测试工具或 PoC。
• 如果强制执行 Play Integrity / SafetyNet，尝试运行时钩子（Frida Gadget，MagiskIntegrityFix，Integrity-faker）或网络级重放。
• 使用现代工具进行仪器化：
• Objection > 2.0，Frida 17+，NowSecure-Tracer (2024)
• 使用 perfetto / simpleperf 进行动态系统级跟踪。

一些混淆/反混淆信息

• 在这里阅读