* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
Trouvez les vulnérabilités les plus importantes afin de pouvoir les corriger plus rapidement. Intruder suit votre surface d'attaque, effectue des analyses de menace proactives, trouve des problèmes dans toute votre pile technologique, des API aux applications web et aux systèmes cloud. [**Essayez-le gratuitement**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) dès aujourd'hui.
* [ ] Vérifiez l'utilisation de [l'obfuscation](android-checklist.md#some-obfuscation-deobfuscation-information), vérifiez si le mobile est rooté, si un émulateur est utilisé et effectuez des vérifications anti-altération. [Lisez ceci pour plus d'informations](android-app-pentesting/#other-checks).
* [ ] Vérifiez si l'application est en mode débogage et essayez de l'exploiter
* [ ] Vérifiez si l'APK autorise les sauvegardes
* [ ] Activités exportées
* [ ] Fournisseurs de contenu
* [ ] Services exposés
* [ ] Récepteurs de diffusion
* [ ] URL Schemes
* [ ] L'application enregistre-t-elle des données de manière non sécurisée en interne ou en externe (android-app-pentesting/#insecure-data-storage)?
* [ ] Y a-t-il un mot de passe codé en dur ou enregistré sur le disque (android-app-pentesting/#poorkeymanagementprocesses)? L'application utilise-t-elle des algorithmes de chiffrement non sécurisés ou obsolètes (android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
* [ ] Toutes les bibliothèques sont-elles compilées en utilisant le drapeau PIE ?
* [ ] N'oubliez pas qu'il existe une multitude d'[analyseurs statiques Android](android-app-pentesting/#automatic-analysis) qui peuvent vous aider beaucoup pendant cette phase.
* [ ] Y a-t-il une [fuite de données involontaire](android-app-pentesting/#unintended-data-leakage) (journalisation, copier/coller, journaux de plantage) ?
* [ ] Des informations confidentielles sont-elles enregistrées dans des bases de données SQLite (android-app-pentesting/#sqlite-dbs) ?
* [ ] Récepteurs de diffusion exploitables (android-app-pentesting/#exploiting-broadcast-receivers) ?
* [ ] L'application transmet-elle des informations en clair/utilise-t-elle des algorithmes faibles (android-app-pentesting/#insufficient-transport-layer-protection) ? Une attaque de l'homme du milieu est-elle possible ?
* [ ] [Inspectez le trafic HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic)
* [ ] Ceci est vraiment important, car si vous pouvez capturer le trafic HTTP, vous pouvez rechercher des vulnérabilités Web courantes (Hacktricks contient beaucoup d'informations sur les vulnérabilités Web).
* [ ] Recherchez d'éventuelles [injections côté client Android](android-app-pentesting/#android-client-side-injections-and-others) (probablement une analyse de code statique vous aidera ici)
* [ ] [Frida](android-app-pentesting/#frida) : Utilisez Frida pour obtenir des données dynamiques intéressantes à partir de l'application (peut-être des mots de passe...)
### Quelques informations sur l'obfuscation/déobfuscation
Trouvez les vulnérabilités les plus importantes afin de les corriger plus rapidement. Intruder suit votre surface d'attaque, effectue des analyses de menaces proactives, trouve des problèmes dans l'ensemble de votre pile technologique, des API aux applications web et aux systèmes cloud. [**Essayez-le gratuitement**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) dès aujourd'hui.
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.