hacktricks/src/mobile-pentesting/android-checklist.md

Android APK Checklist

{{#include ../banners/hacktricks-training.md}}

Learn Android fundamentals

• Misingi
• Dalvik & Smali
• Nukta za kuingia
• Shughuli
• Mipango ya URL
• Watoa maudhui
• Huduma
• Vipokezi vya matangazo
• Mawasiliano
• Filita ya Mawasiliano
• Vipengele vingine
• Jinsi ya kutumia ADB
• Jinsi ya kubadilisha Smali

Static Analysis

• Angalia matumizi ya obfuscation, angalia kama simu imekuwa rooted, kama emulator inatumika na ukaguzi wa kupambana na uharibifu. Soma hii kwa maelezo zaidi.
• Programu nyeti (kama programu za benki) zinapaswa kuangalia kama simu imekuwa rooted na zinapaswa kuchukua hatua kwa mujibu wa hilo.
• Tafuta nyuzi za kuvutia (nywila, URLs, API, usimbuaji, milango ya nyuma, tokeni, Bluetooth uuids...).
• Kipaumbele maalum kwa firebase APIs.
• Soma hati ya maombi:
• Angalia kama programu iko katika hali ya debug na jaribu "kuikabili"
• Angalia kama APK inaruhusu nakala za akiba
• Shughuli zilizotolewa
• Watoa maudhui
• Huduma zilizofichuliwa
• Vipokezi vya matangazo
• Mipango ya URL
• Je, programu inasaidia kuhifadhi data kwa njia isiyo salama ndani au nje?
• Je, kuna nywila iliyowekwa kwa nguvu au kuhifadhiwa kwenye diski? Je, programu inatumia algorithimu za usimbuaji zisizo salama?
• Je, maktaba zote zimeundwa kwa kutumia bendera ya PIE?
• Usisahau kwamba kuna kundi la analyzer za Android za statiki ambazo zinaweza kukusaidia sana katika hatua hii.
• android:exported ni lazima kwenye Android 12+ – vipengele vilivyowekwa vibaya vinaweza kusababisha mwito wa nia za nje.
• Kagua Mipango ya Usalama wa Mtandao (networkSecurityConfig XML) kwa cleartextTrafficPermitted="true" au marekebisho maalum ya kikoa.
• Tafuta simu za Play Integrity / SafetyNet / DeviceCheck – thibitisha ikiwa uthibitisho wa kawaida unaweza kuunganishwa/kupitishwa.
• Kagua Viungo vya Programu / Viungo vya Kina (android:autoVerify) kwa masuala ya kuelekeza nia au kuelekeza wazi.
• Tambua matumizi ya WebView.addJavascriptInterface au loadData*() ambayo yanaweza kusababisha RCE / XSS ndani ya programu.
• Changanua vifurushi vya cross-platform (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Zana maalum:
• flutter-packer, fluttersign, rn-differ
• Scan maktaba za asili za wahusika wengine kwa CVEs zinazojulikana (mfano, libwebp CVE-2023-4863, libpng, n.k.).
• Kadiria SEMgrep Mobile rules, Pithus na matokeo ya hivi karibuni ya MobSF ≥ 3.9 yaliyosaidiwa na AI kwa matokeo ya ziada.

Dynamic Analysis

• Andaa mazingira (mtandaoni, VM ya ndani au ya kimwili)
• Je, kuna kuvuja kwa data zisizokusudiwa (kuandika, nakala/paste, kumbukumbu za ajali)?
• Taarifa za siri zinahifadhiwa katika hifadhidata za SQLite?
• Shughuli zilizofichuliwa zinazoweza kutumika?
• Watoa maudhui wanaoweza kutumika?
• Huduma zilizofichuliwa zinazoweza kutumika?
• Vipokezi vya matangazo vinavyoweza kutumika?
• Je, programu inasambaza taarifa kwa maandiko wazi/kutumia algorithimu dhaifu? Je, MitM inawezekana?
• Kagua trafiki ya HTTP/HTTPS
• Hii ni muhimu sana, kwa sababu ikiwa unaweza kukamata trafiki ya HTTP unaweza kutafuta udhaifu wa kawaida wa Mtandao (Hacktricks ina habari nyingi kuhusu udhaifu wa Mtandao).
• Angalia uwezekano wa Mingiliano ya upande wa mteja wa Android (labda uchambuzi wa msimbo wa statiki utaweza kusaidia hapa)
• Frida: Frida tu, itumie kupata data ya kuvutia ya dynamic kutoka kwa programu (labda nywila zingine...)
• Jaribu Tapjacking / Mashambulizi yanayoendeshwa na Animation (TapTrap 2025) hata kwenye Android 15+ (hakuna ruhusa ya overlay inahitajika).
• Jaribu overlay / SYSTEM_ALERT_WINDOW clickjacking na kudhulumu Huduma za Urahisi kwa ajili ya kupandisha hadhi.
• Angalia kama adb backup / bmgr backupnow bado inaweza kutupa data ya programu (programu ambazo zilisahau kuzima allowBackup).
• Chunguza Binder-level LPEs (mfano, CVE-2023-20963, CVE-2023-20928); tumia fuzzers za kernel au PoCs ikiwa inaruhusiwa.
• Ikiwa Play Integrity / SafetyNet inatekelezwa, jaribu vidokezo vya wakati wa kukimbia (Frida Gadget, MagiskIntegrityFix, Integrity-faker) au upya wa kiwango cha mtandao.
• Panga na zana za kisasa:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• Ufuatiliaji wa mfumo mzima wa dynamic na perfetto / simpleperf.

Some obfuscation/Deobfuscation information

• Soma hapa

{{#include ../banners/hacktricks-training.md}}