Android APK Kontrol Listesi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Android temellerini öğrenin

Statik Analiz

  • Uygulamada obfuscation kullanımı, cihazın rootlu olup olmadığı tespiti, emulator kullanımı ve anti-tampering kontrolleri olup olmadığını kontrol edin. Read this for more info.
  • Hassas uygulamalar (ör. bankacılık uygulamaları) mobilin rootlu olup olmadığını kontrol etmeli ve buna göre davranmalıdır.
  • İlginç string’leri arayın (parolalar, URL’ler, API, şifreleme, backdoor’lar, tokenlar, Bluetooth uuid’leri…).
  • firebase API’lerine özel dikkat gösterin.
  • Manifest’i okuyun:
  • Uygulamanın debug modunda olup olmadığını kontrol edin ve bunu “exploit” etmeye çalışın.
  • APK’nin backup’lara izin verip vermediğini kontrol edin
  • Exported Activities
  • Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
  • Content Providers
  • Exposed services
  • Broadcast Receivers
  • URL Schemes
  • Uygulama sveriyi dahili veya harici olarak güvensiz şekilde saklıyor mu?
  • Any password hard coded or saved in disk? Uygulama güvensiz crypto algoritmaları mı kullanıyor?
  • Tüm kütüphaneler PIE bayrağı kullanılarak derlendi mi?
  • Unutmayın ki bir dizi static Android Analyzers bu aşamada size çok yardımcı olabilir.
  • android:exported Android 12+ için zorunlu – yanlış yapılandırılmış exported bileşenler dış intent invokasyonuna yol açabilir.
  • Network Security Config (networkSecurityConfig XML) içinde cleartextTrafficPermitted="true" veya domain-özel override’ları gözden geçirin.
  • Play Integrity / SafetyNet / DeviceCheck çağrılarına bakın – özel attestation’ın hook/bypass edilip edilemeyeceğini belirleyin.
  • App Links / Deep Links (android:autoVerify) içinde intent-redirect veya open-redirect sorunlarını inceleyin.
  • WebView.addJavascriptInterface kullanımını veya loadData*() çağrılarını tespit edin; bunlar uygulama içinde RCE / XSS’e yol açabilir.
  • Çapraz-platform bundle’ları (Flutter libapp.so, React-Native JS bundle’ları, Capacitor/Ionic varlıkları) analiz edin. Adanmış araçlar:
  • flutter-packer, fluttersign, rn-differ
  • Bilinen CVE’ler için üçüncü taraf native kütüphaneleri tarayın (ör. libwebp CVE-2023-4863, libpng, vb.).
  • Ek bulgular için SEMgrep Mobile rules, Pithus ve en son MobSF ≥ 3.9 AI destekli tarama sonuçlarını değerlendirin.
  • OEM ROM eklentilerini (OxygenOS/ColorOS/MIUI/OneUI) ekstra exported ContentProviders için kontrol edin; izin atlaması yapabilecekleri için content query --uri content://com.android.providers.telephony/ServiceNumberProvider komutunu READ_SMS olmadan deneyin (ör. OnePlus CVE-2025-10184).

Dinamik Analiz

  • Ortamı hazırlayın (online, lokal VM veya fiziksel)
  • Herhangi bir unintended data leakage var mı (logging, copy/paste, crash log’ları)?
  • Gizli bilgilerin SQLite db’lerde kaydedilmesi?
  • Sömürülebilir exported Activities?
  • Sömürülebilir Content Providers?
  • Sömürülebilir exposed Services?
  • Sömürülebilir Broadcast Receivers?
  • Uygulama bilgiyi açık metin olarak mı iletiyor/zayıf algoritmalar mı kullanıyor](android-app-pentesting/index.html#insufficient-transport-layer-protection)? MitM mümkün mü?
  • HTTP/HTTPS trafiğini inceleyin
  • Bu çok önemli; HTTP trafiğini yakalayabilirseniz genel Web zafiyetlerini arayabilirsiniz (Hacktricks’in Web zafiyetleri hakkında çokça bilgisi var).
  • Olası Android Client Side Injections için kontrol edin (muhtemelen biraz statik kod analizi yardımcı olur).
  • Frida: Sadece Frida; uygulamadan ilginç dinamik veriler elde etmek için kullanın (muhtemelen bazı parolalar…).
  • Tapjacking / Animation-driven attacks (TapTrap 2025) için test edin, Android 15+ üzerinde bile (overlay izni gerekmez).
  • Overlay / SYSTEM_ALERT_WINDOW clickjacking ve Accessibility Service kötüye kullanımı ile privilege escalation denemeleri yapın.
  • adb backup / bmgr backupnow ile hâlâ uygulama verisi dökülebiliyor mu kontrol edin (allowBackup’i devre dışı bırakmayı unutan uygulamalar).
  • Binder-seviyesinde LPE’ler için probe yapın (ör. CVE-2023-20963, CVE-2023-20928); izinliyse kernel fuzzer’ları veya PoC’lar kullanın.
  • Play Integrity / SafetyNet zorunluysa, runtime hook’ları deneyin (Frida Gadget, MagiskIntegrityFix, Integrity-faker) veya ağ seviyesinde replay yapın. Yeni Play Integrity Fix fork’ları (≥17.x) playcurl gömüyor—DEVICE/STRONG verdict’leri geri almak için ZygiskNext + PIF + ZygiskAssistant/TrickyStore kombinasyonlarına odaklanın.
  • Modern araçlarla enstrümantasyon:
  • Objection > 2.0, Frida 17+ (Android 16 destek, ART offset düzeltmeleri), NowSecure-Tracer (2024)
  • Sistem genelinde dinamik izleme için perfetto / simpleperf.
  • OEM telephony/provider bug’ları için (ör. OxygenOS CVE-2025-10184), izin gerektirmeyen SMS okuma/gönderme denemeleri yapın content CLI veya uygulama içi ContentResolver ile; update() içinde kör SQLi test ederek satırları exfiltrate etmeyi deneyin.

Bazı obfuscation/Deobfuscation bilgileri

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin