hacktricks/mobile-pentesting/android-checklist.md

# Lista de verificación de APK de Android

<details>

<summary><strong>Aprende a hackear AWS desde cero hasta convertirte en un héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

**Grupo de Seguridad Try Hard**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

***

### [Aprende los fundamentos de Android](android-app-pentesting/#2-android-application-fundamentals)

* [ ] [Conceptos básicos](android-app-pentesting/#fundamentals-review)
* [ ] [Dalvik y Smali](android-app-pentesting/#dalvik--smali)
* [ ] [Puntos de entrada](android-app-pentesting/#application-entry-points)
* [ ] [Actividades](android-app-pentesting/#launcher-activity)
* [ ] [Esquemas de URL](android-app-pentesting/#url-schemes)
* [ ] [Proveedores de contenido](android-app-pentesting/#services)
* [ ] [Servicios](android-app-pentesting/#services-1)
* [ ] [Receptores de difusión](android-app-pentesting/#broadcast-receivers)
* [ ] [Intents](android-app-pentesting/#intents)
* [ ] [Filtro de Intents](android-app-pentesting/#intent-filter)
* [ ] [Otros componentes](android-app-pentesting/#other-app-components)
* [ ] [Cómo usar ADB](android-app-pentesting/#adb-android-debug-bridge)
* [ ] [Cómo modificar Smali](android-app-pentesting/#smali)

### [Análisis estático](android-app-pentesting/#static-analysis)

* [ ] Verificar el uso de [ofuscación](android-checklist.md#some-obfuscation-deobfuscation-information), comprobar si el móvil está rooteado, si se está utilizando un emulador y comprobaciones anti-manipulación. [Lee esto para más información](android-app-pentesting/#other-checks).
* [ ] Las aplicaciones sensibles (como las aplicaciones bancarias) deben verificar si el móvil está rooteado y actuar en consecuencia.
* [ ] Buscar [cadenas interesantes](android-app-pentesting/#looking-for-interesting-info) (contraseñas, URLs, API, cifrado, puertas traseras, tokens, UUID de Bluetooth...).
* [ ] Prestar especial atención a las API de [firebase](android-app-pentesting/#firebase).
* [ ] [Leer el manifiesto:](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
* [ ] Comprobar si la aplicación está en modo de depuración e intentar "explotarla"
* [ ] Verificar si la APK permite copias de seguridad
* [ ] Actividades exportadas
* [ ] Proveedores de contenido
* [ ] Servicios expuestos
* [ ] Receptores de difusión
* [ ] Esquemas de URL
* [ ] ¿La aplicación está [guardando datos de forma insegura interna o externamente](android-app-pentesting/#insecure-data-storage)?
* [ ] ¿Hay alguna [contraseña codificada o guardada en disco](android-app-pentesting/#poorkeymanagementprocesses)? ¿La aplicación [utiliza algoritmos criptográficos inseguros](android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
* [ ] ¿Todas las bibliotecas se compilaron usando la bandera PIE?
* [ ] No olvides que hay un montón de [Analizadores estáticos de Android](android-app-pentesting/#automatic-analysis) que pueden ayudarte mucho durante esta fase.

### [Análisis dinámico](android-app-pentesting/#dynamic-analysis)

* [ ] Preparar el entorno ([en línea](android-app-pentesting/#online-dynamic-analysis), [VM local o física](android-app-pentesting/#local-dynamic-analysis))
* [ ] ¿Hay alguna [fuga de datos no intencionada](android-app-pentesting/#unintended-data-leakage) (registro, copiar/pegar, registros de errores)?
* [ ] ¿Información confidencial guardada en bases de datos SQLite](android-app-pentesting/#sqlite-dbs)?
* [ ] ¿Actividades expuestas explotables](android-app-pentesting/#exploiting-exported-activities-authorisation-bypass)?
* [ ] ¿Proveedores de contenido explotables](android-app-pentesting/#exploiting-content-providers-accessing-and-manipulating-sensitive-information)?
* [ ] ¿Servicios expuestos explotables](android-app-pentesting/#exploiting-services)?
* [ ] ¿Receptores de difusión explotables](android-app-pentesting/#exploiting-broadcast-receivers)?
* [ ] ¿La aplicación está [transmitiendo información en texto claro/utilizando algoritmos débiles](android-app-pentesting/#insufficient-transport-layer-protection)? ¿Es posible un ataque de intermediario?
* [ ] [Inspeccionar el tráfico HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic)
* [ ] Este punto es realmente importante, porque si puedes capturar el tráfico HTTP, puedes buscar vulnerabilidades web comunes (Hacktricks tiene mucha información sobre vulnerabilidades web).
* [ ] Comprobar posibles [Inyecciones del lado del cliente de Android](android-app-pentesting/#android-client-side-injections-and-others) (probablemente algún análisis de código estático ayudará aquí)
* [ ] [Frida](android-app-pentesting/#frida): Solo Frida, úsalo para obtener datos dinámicos interesantes de la aplicación (quizás algunas contraseñas...)

### Alguna información sobre obfuscación/Deobfuscation

* [ ] [Lee aquí](android-app-pentesting/#obfuscating-deobfuscating-code)


**Grupo de Seguridad Try Hard**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

<details>

<summary><strong>Aprende a hackear AWS desde cero hasta convertirte en un héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>