maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/mobile-pentesting/android-checklist.md

9.4 KiB
Raw Blame History

Android APK Checklist

{{#include ../banners/hacktricks-training.md}}

Learn Android fundamentals

Static Analysis

  • Перевірте використання обфускації, перевірки на те, чи був мобільний пристрій рутований, чи використовується емулятор та перевірки на антивандалізм. Читати тут для отримання додаткової інформації.
  • Чутливі програми (наприклад, банківські додатки) повинні перевіряти, чи рутований мобільний пристрій, і діяти відповідно.
  • Шукайте цікаві рядки (паролі, URL, API, шифрування, бекдори, токени, Bluetooth uuids...).
  • Особлива увага до firebase API.
  • Прочитайте маніфест:
  • Перевірте, чи програма знаходиться в режимі налагодження, і спробуйте "експлуатувати" її
  • Перевірте, чи дозволяє APK резервні копії
  • Експортовані активності
  • Постачальники контенту
  • Відкриті сервіси
  • Приймачі трансляцій
  • URL-схеми
  • Чи зберігає програма дані ненадійно всередині або зовні](android-app-pentesting/index.html#insecure-data-storage)?
  • Чи є пароль, закодований або збережений на диску? Чи використовує програма ненадійні криптоалгоритми?
  • Усі бібліотеки скомпільовані з використанням прапора PIE?
  • Не забувайте, що є безліч статичних Android-аналітиків, які можуть дуже допомогти вам на цьому етапі.
  • android:exported обов'язковий на Android 12+ неправильно налаштовані експортовані компоненти можуть призвести до виклику зовнішніх інтенцій.
  • Перегляньте Конфігурацію безпеки мережі (networkSecurityConfig XML) на cleartextTrafficPermitted="true" або специфічні для домену переопределення.
  • Шукайте виклики до Play Integrity / SafetyNet / DeviceCheck визначте, чи можна обійти/зловити кастомну атестацію.
  • Перевірте App Links / Deep Links (android:autoVerify) на проблеми з перенаправленням інтенцій або відкритими перенаправленнями.
  • Визначте використання WebView.addJavascriptInterface або loadData*(), які можуть призвести до RCE / XSS всередині програми.
  • Аналізуйте крос-платформенні пакети (Flutter libapp.so, React-Native JS пакети, активи Capacitor/Ionic). Спеціалізовані інструменти:
  • flutter-packer, fluttersign, rn-differ
  • Скануйте сторонні рідні бібліотеки на наявність відомих CVE (наприклад, libwebp CVE-2023-4863, libpng, тощо).
  • Оцініть правила SEMgrep Mobile, Pithus та останні результати сканування MobSF ≥ 3.9 з підтримкою AI для додаткових знахідок.

Dynamic Analysis

Some obfuscation/Deobfuscation information

{{#include ../banners/hacktricks-training.md}}