Λίστα Ελέγχου Android APK

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Learn Android fundamentals

Static Analysis

  • Έλεγχος για τη χρήση του obfuscation, έλεγχοι για το αν η συσκευή έχει root, αν χρησιμοποιείται emulator και έλεγχοι anti-tampering. Read this for more info.
  • Οι ευαίσθητες εφαρμογές (π.χ. τραπεζικές) θα πρέπει να ελέγχουν εάν η συσκευή έχει root και να ενεργούν αναλόγως.
  • Αναζήτηση για interesting strings (συνθηματικά, URLs, API, κρυπτογράφηση, backdoors, tokens, Bluetooth uuids…).
  • Ιδιαίτερη προσοχή σε firebase APIs.
  • Read the manifest:
  • Ελέγξτε αν η εφαρμογή βρίσκεται σε debug mode και δοκιμάστε να την “exploit”
  • Ελέγξτε αν το APK επιτρέπει backups
  • Exported Activities
  • Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
  • Content Providers
  • Exposed services
  • Broadcast Receivers
  • URL Schemes
  • Αποθηκεύει η εφαρμογή saving data insecurely internally or externally?
  • Υπάρχει κάποιο password hard coded or saved in disk? Η εφαρμογή using insecurely crypto algorithms?
  • Όλες οι βιβλιοθήκες compiled χρησιμοποιώντας την παράμετρο PIE;
  • Μην ξεχάσετε ότι υπάρχει ένα σωρό static Android Analyzers που μπορούν να σας βοηθήσουν πολύ σε αυτή τη φάση.
  • android:exported mandatory on Android 12+ – η λανθασμένη ρύθμιση των exported components μπορεί να οδηγήσει σε external intent invocation.
  • Ελέγξτε το Network Security Config (networkSecurityConfig XML) για cleartextTrafficPermitted="true" ή domain-specific overrides.
  • Ψάξτε για κλήσεις σε Play Integrity / SafetyNet / DeviceCheck – καθορίστε αν custom attestation μπορεί να υποκλαπεί/παρακαμφθεί.
  • Επιθεωρήστε App Links / Deep Links (android:autoVerify) για προβλήματα intent-redirection ή open-redirect.
  • Εντοπίστε χρήση του WebView.addJavascriptInterface ή loadData*() που μπορεί να οδηγήσει σε RCE / XSS εντός της εφαρμογής.
  • Αναλύστε cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Dedicated tooling:
  • flutter-packer, fluttersign, rn-differ
  • Σαρώστε third-party native libraries για γνωστά CVEs (π.χ., libwebp CVE-2023-4863, libpng, κ.λπ.).
  • Αξιολογήστε SEMgrep Mobile rules, Pithus και τα πιο πρόσφατα MobSF ≥ 3.9 AI-assisted scan results για επιπλέον ευρήματα.
  • Ελέγξτε πρόσθετα OEM ROM (OxygenOS/ColorOS/MIUI/OneUI) για επιπλέον exported ContentProviders που παρακάμπτουν τα permissions; δοκιμάστε content query --uri content://com.android.providers.telephony/ServiceNumberProvider χωρίς READ_SMS (π.χ., OnePlus CVE-2025-10184).

Dynamic Analysis

  • Προετοιμάστε το περιβάλλον (online, local VM or physical)
  • Υπάρχει κάποια unintended data leakage (logging, copy/paste, crash logs);
  • Confidential information being saved in SQLite dbs?
  • Exploitable exposed Activities?
  • Exploitable Content Providers?
  • Exploitable exposed Services?
  • Exploitable Broadcast Receivers?
  • Μήπως η εφαρμογή transmitting information in clear text/using weak algorithms; είναι δυνατός MitM;
  • Inspect HTTP/HTTPS traffic
  • Αυτό είναι πολύ σημαντικό, γιατί αν καταφέρετε να καταγράψετε την HTTP κίνηση μπορείτε να αναζητήσετε κοινές ευπάθειες Web (το Hacktricks έχει πολύ υλικό για Web vulns).
  • Ελέγξτε για πιθανές Android Client Side Injections (πιθανώς κάποια στατική ανάλυση κώδικα θα βοηθήσει εδώ)
  • Frida: Απλώς Frida, χρησιμοποιήστε το για να εξαγάγετε ενδιαφέροντα δυναμικά δεδομένα από την εφαρμογή (ίσως κάποια passwords…)
  • Δοκιμάστε για Tapjacking / Animation-driven attacks (TapTrap 2025) ακόμη και σε Android 15+ (δεν απαιτείται άδεια overlay).
  • Προσπαθήστε overlay / SYSTEM_ALERT_WINDOW clickjacking και Accessibility Service abuse για escalation δικαιωμάτων.
  • Ελέγξτε αν adb backup / bmgr backupnow μπορούν ακόμα να κάνουν dump τα δεδομένα της εφαρμογής (εφαρμογές που ξέχασαν να απενεργοποιήσουν allowBackup).
  • Εξερευνήστε για Binder-level LPEs (π.χ., CVE-2023-20963, CVE-2023-20928); χρησιμοποιήστε kernel fuzzers ή PoCs αν επιτρέπεται.
  • Εάν επιβάλλεται Play Integrity / SafetyNet, δοκιμάστε runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) ή network-level replay. Πρόσφατα forks του Play Integrity Fix (≥17.x) ενσωματώνουν playcurl—επικεντρωθείτε σε συνδυασμούς ZygiskNext + PIF + ZygiskAssistant/TrickyStore για αποκατάσταση DEVICE/STRONG verdicts.
  • Instrument με σύγχρονα εργαλεία:
  • Objection > 2.0, Frida 17+ (Android 16 support, ART offset fixes), NowSecure-Tracer (2024)
  • Δυναμική system-wide tracing με perfetto / simpleperf.
  • Για OEM τηλεφωνικά/provider bugs (π.χ., OxygenOS CVE-2025-10184), δοκιμάστε permission-less SMS read/send μέσω του content CLI ή in-app ContentResolver; δοκιμάστε blind SQLi στο update() για εξαγωγή γραμμών.

Some obfuscation/Deobfuscation information

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks