From c5d53f93725d94326e95d02a7722e8d9812a8ff3 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Wed, 20 Aug 2025 00:20:10 +0000
Subject: [PATCH] Translated ['src/mobile-pentesting/android-checklist.md'] to
 el

---
 src/mobile-pentesting/android-checklist.md | 47 +++++++++++++++-------
 1 file changed, 32 insertions(+), 15 deletions(-)

diff --git a/src/mobile-pentesting/android-checklist.md b/src/mobile-pentesting/android-checklist.md
index e418b467a..daceeaa61 100644
--- a/src/mobile-pentesting/android-checklist.md
+++ b/src/mobile-pentesting/android-checklist.md
@@ -14,44 +14,61 @@
 - [ ] [Υπηρεσίες](android-app-pentesting/index.html#services-1)
 - [ ] [Δέκτες εκπομπών](android-app-pentesting/index.html#broadcast-receivers)
 - [ ] [Intents](android-app-pentesting/index.html#intents)
-- [ ] [Φίλτρο Intents](android-app-pentesting/index.html#intent-filter)
+- [ ] [Φίλτρο Intent](android-app-pentesting/index.html#intent-filter)
 - [ ] [Άλλα συστατικά](android-app-pentesting/index.html#other-app-components)
 - [ ] [Πώς να χρησιμοποιήσετε το ADB](android-app-pentesting/index.html#adb-android-debug-bridge)
 - [ ] [Πώς να τροποποιήσετε το Smali](android-app-pentesting/index.html#smali)
 
 ### [Static Analysis](android-app-pentesting/index.html#static-analysis)
 
-- [ ] Ελέγξτε τη χρήση της [αποκρυπτογράφησης](android-checklist.md#some-obfuscation-deobfuscation-information), ελέγξτε αν το κινητό ήταν ριζωμένο, αν χρησιμοποιείται εξομοιωτής και ελέγχους κατά της παραχάραξης. [Διαβάστε αυτό για περισσότερες πληροφορίες](android-app-pentesting/index.html#other-checks).
-- [ ] Ευαίσθητες εφαρμογές (όπως οι τραπεζικές εφαρμογές) θα πρέπει να ελέγχουν αν το κινητό είναι ριζωμένο και να ενεργούν αναλόγως.
-- [ ] Αναζητήστε [ενδιαφέροντα strings](android-app-pentesting/index.html#looking-for-interesting-info) (κωδικούς πρόσβασης, URLs, API, κρυπτογράφηση, backdoors, tokens, Bluetooth uuids...).
+- [ ] Ελέγξτε για τη χρήση [obfuscation](android-checklist.md#some-obfuscation-deobfuscation-information), ελέγχους για το αν το κινητό ήταν root, αν χρησιμοποιείται εξομοιωτής και ελέγχους κατά της παραχάραξης. [Διαβάστε αυτό για περισσότερες πληροφορίες](android-app-pentesting/index.html#other-checks).
+- [ ] Ευαίσθητες εφαρμογές (όπως τραπεζικές εφαρμογές) θα πρέπει να ελέγχουν αν το κινητό είναι root και να ενεργούν αναλόγως.
+- [ ] Αναζητήστε [ενδιαφέροντα strings](android-app-pentesting/index.html#looking-for-interesting-info) (κωδικοί πρόσβασης, URLs, API, κρυπτογράφηση, backdoors, tokens, Bluetooth uuids...).
 - [ ] Ιδιαίτερη προσοχή στα [firebase ](android-app-pentesting/index.html#firebase)APIs.
 - [ ] [Διαβάστε το manifest:](android-app-pentesting/index.html#basic-understanding-of-the-application-manifest-xml)
-- [ ] Ελέγξτε αν η εφαρμογή είναι σε λειτουργία αποσφαλμάτωσης και προσπαθήστε να την "εκμεταλλευτείτε"
+- [ ] Ελέγξτε αν η εφαρμογή είναι σε λειτουργία debug και προσπαθήστε να την "εκμεταλλευτείτε"
 - [ ] Ελέγξτε αν το APK επιτρέπει αντίγραφα ασφαλείας
 - [ ] Εξαγόμενες Δραστηριότητες
 - [ ] Πάροχοι περιεχομένου
 - [ ] Εκτεθειμένες υπηρεσίες
 - [ ] Δέκτες εκπομπών
 - [ ] Σχέδια URL
-- [ ] Αποθηκεύει η εφαρμογή δεδομένα με ανασφαλή τρόπο εσωτερικά ή εξωτερικά; (android-app-pentesting/index.html#insecure-data-storage)
+- [ ] Αποθηκεύει η εφαρμογή δεδομένα [με ανασφαλή τρόπο εσωτερικά ή εξωτερικά](android-app-pentesting/index.html#insecure-data-storage);
 - [ ] Υπάρχει κάποιος [κωδικός πρόσβασης σκληρά κωδικοποιημένος ή αποθηκευμένος στο δίσκο](android-app-pentesting/index.html#poorkeymanagementprocesses); Χρησιμοποιεί η εφαρμογή [ανασφαλείς αλγόριθμους κρυπτογράφησης](android-app-pentesting/index.html#useofinsecureandordeprecatedalgorithms);
-- [ ] Όλες οι βιβλιοθήκες έχουν μεταγλωττιστεί χρησιμοποιώντας τη σημαία PIE;
-- [ ] Μην ξεχνάτε ότι υπάρχει μια σειρά από [στατικούς αναλυτές Android](android-app-pentesting/index.html#automatic-analysis) που μπορούν να σας βοηθήσουν πολύ σε αυτή τη φάση.
+- [ ] Όλες οι βιβλιοθήκες έχουν μεταγλωττιστεί χρησιμοποιώντας την σημαία PIE;
+- [ ] Μην ξεχνάτε ότι υπάρχει μια σειρά από [στατικούς αναλυτές Android](android-app-pentesting/index.html#automatic-analysis) που μπορούν να σας βοηθήσουν πολύ κατά τη διάρκεια αυτής της φάσης.
+- [ ] `android:exported` **υποχρεωτικό σε Android 12+** – κακώς ρυθμισμένα εξαγόμενα συστατικά μπορεί να οδηγήσουν σε εξωτερική κλήση intent.
+- [ ] Ελέγξτε τη **Διαμόρφωση Ασφάλειας Δικτύου** (`networkSecurityConfig` XML) για `cleartextTrafficPermitted="true"` ή ειδικές παρακάμψεις τομέα.
+- [ ] Αναζητήστε κλήσεις σε **Play Integrity / SafetyNet / DeviceCheck** – προσδιορίστε αν η προσαρμοσμένη πιστοποίηση μπορεί να παρακαμφθεί.
+- [ ] Εξετάστε τα **App Links / Deep Links** (`android:autoVerify`) για ζητήματα ανακατεύθυνσης intent ή ανοιχτής ανακατεύθυνσης.
+- [ ] Προσδιορίστε τη χρήση του **WebView.addJavascriptInterface** ή `loadData*()` που μπορεί να οδηγήσει σε RCE / XSS μέσα στην εφαρμογή.
+- [ ] Αναλύστε διασυνοριακά πακέτα (Flutter `libapp.so`, React-Native JS bundles, Capacitor/Ionic assets). Ειδικά εργαλεία:
+- `flutter-packer`, `fluttersign`, `rn-differ`
+- [ ] Σαρώστε τρίτες εγγενείς βιβλιοθήκες για γνωστά CVEs (π.χ., **libwebp CVE-2023-4863**, **libpng**, κ.λπ.).
+- [ ] Αξιολογήστε τους **κανόνες SEMgrep Mobile**, **Pithus** και τα τελευταία αποτελέσματα σάρωσης **MobSF ≥ 3.9** με υποστήριξη AI για επιπλέον ευρήματα.
 
 ### [Dynamic Analysis](android-app-pentesting/index.html#dynamic-analysis)
 
 - [ ] Προετοιμάστε το περιβάλλον ([online](android-app-pentesting/index.html#online-dynamic-analysis), [τοπική VM ή φυσική](android-app-pentesting/index.html#local-dynamic-analysis))
-- [ ] Υπάρχει κάποια [μη προγραμματισμένη διαρροή δεδομένων](android-app-pentesting/index.html#unintended-data-leakage) (καταγραφή, αντιγραφή/επικόλληση, καταγραφές σφαλμάτων);
-- [ ] [Εμπιστευτικές πληροφορίες που αποθηκεύονται σε βάσεις δεδομένων SQLite](android-app-pentesting/index.html#sqlite-dbs);
-- [ ] [Εκμεταλλεύσιμες εκτεθειμένες Δραστηριότητες](android-app-pentesting/index.html#exploiting-exported-activities-authorisation-bypass);
-- [ ] [Εκμεταλλεύσιμοι Πάροχοι περιεχομένου](android-app-pentesting/index.html#exploiting-content-providers-accessing-and-manipulating-sensitive-information);
+- [ ] Υπάρχει κάποια [μη προγραμματισμένη διαρροή δεδομένων](android-app-pentesting/index.html#unintended-data-leakage) (καταγραφή, αντιγραφή/επικόλληση, αρχεία καταγραφής σφαλμάτων);
+- [ ] [Εμπιστευτικές πληροφορίες που αποθηκεύονται σε SQLite dbs](android-app-pentesting/index.html#sqlite-dbs);
+- [ ] [Εκμεταλλεύσιμες εξαγόμενες Δραστηριότητες](android-app-pentesting/index.html#exploiting-exported-activities-authorisation-bypass);
+- [ ] [Εκμεταλλεύσιμες Πάροχοι περιεχομένου](android-app-pentesting/index.html#exploiting-content-providers-accessing-and-manipulating-sensitive-information);
 - [ ] [Εκμεταλλεύσιμες εκτεθειμένες Υπηρεσίες](android-app-pentesting/index.html#exploiting-services);
-- [ ] [Εκμεταλλεύσιμοι Δέκτες εκπομπών](android-app-pentesting/index.html#exploiting-broadcast-receivers);
-- [ ] Μεταδίδει η εφαρμογή πληροφορίες σε καθαρό κείμενο/χρησιμοποιεί αδύναμους αλγόριθμους; (android-app-pentesting/index.html#insufficient-transport-layer-protection) Είναι δυνατός ο MitM;
-- [ ] [Επιθεωρήστε την κίνηση HTTP/HTTPS](android-app-pentesting/index.html#inspecting-http-traffic)
+- [ ] [Εκμεταλλεύσιμες Δέκτες εκπομπών](android-app-pentesting/index.html#exploiting-broadcast-receivers);
+- [ ] Μεταδίδει η εφαρμογή πληροφορίες [σε καθαρό κείμενο/χρησιμοποιώντας αδύναμους αλγόριθμους](android-app-pentesting/index.html#insufficient-transport-layer-protection); είναι δυνατή μια MitM;
+- [ ] [Εξετάστε την κίνηση HTTP/HTTPS](android-app-pentesting/index.html#inspecting-http-traffic)
 - [ ] Αυτό είναι πραγματικά σημαντικό, γιατί αν μπορείτε να συλλάβετε την κίνηση HTTP μπορείτε να αναζητήσετε κοινές ευπάθειες Web (το Hacktricks έχει πολλές πληροφορίες σχετικά με τις ευπάθειες Web).
 - [ ] Ελέγξτε για πιθανές [Android Client Side Injections](android-app-pentesting/index.html#android-client-side-injections-and-others) (πιθανώς κάποια στατική ανάλυση κώδικα θα βοηθήσει εδώ)
 - [ ] [Frida](android-app-pentesting/index.html#frida): Μόνο Frida, χρησιμοποιήστε το για να αποκτήσετε ενδιαφέροντα δυναμικά δεδομένα από την εφαρμογή (ίσως κάποιους κωδικούς πρόσβασης...)
+- [ ] Δοκιμάστε για **Tapjacking / επιθέσεις που οδηγούνται από κινούμενα σχέδια (TapTrap 2025)** ακόμη και σε Android 15+ (δεν απαιτείται άδεια overlay).
+- [ ] Προσπαθήστε **overlay / SYSTEM_ALERT_WINDOW clickjacking** και **κατάχρηση Υπηρεσίας Προσβασιμότητας** για κλιμάκωση προνομίων.
+- [ ] Ελέγξτε αν το `adb backup` / `bmgr backupnow` μπορεί ακόμα να απορρίψει δεδομένα εφαρμογής (εφαρμογές που ξέχασαν να απενεργοποιήσουν το `allowBackup`).
+- [ ] Εξετάστε για **Binder-level LPEs** (π.χ., **CVE-2023-20963, CVE-2023-20928**); χρησιμοποιήστε kernel fuzzers ή PoCs αν επιτρέπεται.
+- [ ] Αν επιβάλλεται το Play Integrity / SafetyNet, δοκιμάστε runtime hooks (`Frida Gadget`, `MagiskIntegrityFix`, `Integrity-faker`) ή αναπαραγωγή σε επίπεδο δικτύου.
+- [ ] Εργαλειοποιήστε με σύγχρονα εργαλεία:
+- **Objection > 2.0**, **Frida 17+**, **NowSecure-Tracer (2024)**
+- Δυναμική παρακολούθηση σε επίπεδο συστήματος με `perfetto` / `simpleperf`.
 
 ### Some obfuscation/Deobfuscation information