hacktricks/src/mobile-pentesting/android-checklist.md

Android APK Checklist

{{#include ../banners/hacktricks-training.md}}

Leer Android basiese beginsels

• Basiese beginsels
• Dalvik & Smali
• Toegangspunte
• Aktiwiteite
• URL Skemas
• Inhoud Verskaffers
• Dienste
• Uitzend Ontvangers
• Intents
• Intent Filter
• Ander komponente
• Hoe om ADB te gebruik
• Hoe om Smali te wysig

Statiese Analise

• Kontroleer vir die gebruik van obfuscation, kontroleer of die mobiele toestel ge-root is, of 'n emulator gebruik word en anti-tampering kontroles. Lees dit vir meer inligting.
• Sensitiewe toepassings (soos banktoepassings) moet kontroleer of die mobiele toestel ge-root is en moet gevolglik optree.
• Soek na interessante stringe (wagwoorde, URL's, API, enkripsie, agterdeure, tokens, Bluetooth uuids...).
• Spesiale aandag aan firebase APIs.
• Lees die manifest:
• Kontroleer of die toepassing in debug-modus is en probeer om dit te "ontgin"
• Kontroleer of die APK rugsteun toelaat
• Geverifieerde Aktiwiteite
• Inhoud Verskaffers
• Blootgestelde dienste
• Uitzend Ontvangers
• URL Skemas
• Is die toepassing saving data insecurely internally or externally?
• Is daar enige wagwoord hard gekodeer of op skyf gestoor? Gebruik die app insecurely crypto algorithms?
• Alle biblioteke gecompileer met die PIE-vlag?
• Moet nie vergeet dat daar 'n klomp statiese Android Analyzers is wat jou baie kan help tydens hierdie fase nie.
• android:exported verpligtend op Android 12+ – verkeerd geconfigureerde geexporteerde komponente kan lei tot eksterne intent aanroep.
• Hersien Netwerk Sekuriteit Konfig (networkSecurityConfig XML) vir cleartextTrafficPermitted="true" of domein-spesifieke oorskrywing.
• Soek na oproepe na Play Integrity / SafetyNet / DeviceCheck – bepaal of pasgemaakte attestering gekoppel/omseil kan word.
• Ondersoek App Links / Deep Links (android:autoVerify) vir intent-herleiding of oop-herleiding probleme.
• Identifiseer gebruik van WebView.addJavascriptInterface of loadData*() wat kan lei tot RCE / XSS binne die app.
• Analiseer kruis-platform bundels (Flutter libapp.so, React-Native JS bundels, Capacitor/Ionic bates). Toegewyde gereedskap:
• flutter-packer, fluttersign, rn-differ
• Skandeer derdeparty inheemse biblioteke vir bekende CVEs (bv. libwebp CVE-2023-4863, libpng, ens.).
• Evalueer SEMgrep Mobile rules, Pithus en die nuutste MobSF ≥ 3.9 KI-geassisteerde skandeer resultate vir addisionele bevindings.

Dinamiese Analise

• Berei die omgewing voor (aanlyn, lokale VM of fisies)
• Is daar enige onbedoelde data lekkasie (logging, kopie/plak, crash logs)?
• Vertroulike inligting wat in SQLite dbs gestoor word?
• Eksploiteerbare blootgestelde Aktiwiteite?
• Eksploiteerbare Inhoud Verskaffers?
• Eksploiteerbare blootgestelde Dienste?
• Eksploiteerbare Uitzend Ontvangers?
• Is die toepassing inligting in duidelike teks oordra/gebruik swak algoritmes? Is 'n MitM moontlik?
• Ondersoek HTTP/HTTPS verkeer
• Hierdie een is regtig belangrik, want as jy die HTTP verkeer kan vang, kan jy soek na algemene Web kwesbaarhede (Hacktricks het baie inligting oor Web kwesbaarhede).
• Kontroleer vir moontlike Android Klientkant Injekties (waarskynlik sal 'n paar statiese kode analise hier help)
• Frida: Net Frida, gebruik dit om interessante dinamiese data van die toepassing te verkry (miskien 'n paar wagwoorde...)
• Toets vir Tapjacking / Animasiestuurde aanvalle (TapTrap 2025) selfs op Android 15+ (geen oortjie toestemming benodig).
• Probeer oortjie / SYSTEM_ALERT_WINDOW clickjacking en Toeganklikheidsdiens misbruik vir voorregverhoging.
• Kontroleer of adb backup / bmgr backupnow steeds app data kan dump (apps wat vergeet het om allowBackup te deaktiveer).
• Probeer vir Binder-niveau LPEs (bv. CVE-2023-20963, CVE-2023-20928); gebruik kern fuzzers of PoCs indien toegelaat.
• As Play Integrity / SafetyNet afgedwing word, probeer runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) of netwerkvlak herhaling.
• Instrumenteer met moderne gereedskap:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• Dinamiese stelselsgewys opsporing met perfetto / simpleperf.

Sommige obfuscation/Deobfuscation inligting

• Lees hier

{{#include ../banners/hacktricks-training.md}}