* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. [**Pruébalo gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoy.
* [ ] Verificar el uso de [ofuscación](android-checklist.md#some-obfuscation-deobfuscation-information), verificar si el dispositivo móvil está rooteado, si se está utilizando un emulador y comprobar la existencia de controles anti-manipulación. [Lee esto para obtener más información](android-app-pentesting/#other-checks).
* [ ] Las aplicaciones sensibles (como las aplicaciones bancarias) deben verificar si el dispositivo móvil está rooteado y actuar en consecuencia.
* [ ] ¿Hay alguna contraseña codificada o guardada en disco](android-app-pentesting/#poorkeymanagementprocesses)? ¿La aplicación está utilizando algoritmos de cifrado inseguros o obsoletos](android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
* [ ] ¿Todas las bibliotecas se han compilado utilizando la marca PIE?
* [ ] No olvides que hay una gran cantidad de [Analizadores estáticos de Android](android-app-pentesting/#automatic-analysis) que pueden ayudarte mucho durante esta fase.
* [ ] Preparar el entorno ([en línea](android-app-pentesting/#online-dynamic-analysis), [máquina virtual local o física](android-app-pentesting/#local-dynamic-analysis))
* [ ] ¿Hay alguna [fuga de datos no intencional](android-app-pentesting/#unintended-data-leakage) (registros, copiar/pegar, registros de errores)?
* [ ] ¿Se está guardando información confidencial en bases de datos SQLite](android-app-pentesting/#sqlite-dbs)?
* [ ] ¿Existen Actividades expuestas que se puedan explotar](android-app-pentesting/#exploiting-exported-activities-authorisation-bypass)?
* [ ] ¿Existen Proveedores de contenido explotables](android-app-pentesting/#exploiting-content-providers-accessing-and-manipulating-sensitive-information)?
* [ ] ¿Existen Servicios expuestos que se puedan explotar](android-app-pentesting/#exploiting-services)?
* [ ] ¿Existen Receptores de difusión explotables](android-app-pentesting/#exploiting-broadcast-receivers)?
* [ ] ¿La aplicación está transmitiendo información en texto claro/utilizando algoritmos débiles](android-app-pentesting/#insufficient-transport-layer-protection)? ¿Es posible un ataque de intermediario?
* [ ] [Inspeccionar el tráfico HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic)
* [ ] Esto es realmente importante, porque si puedes capturar el tráfico HTTP, puedes buscar vulnerabilidades web comunes (Hacktricks tiene mucha información sobre vulnerabilidades web).
* [ ] Buscar posibles [Inyecciones en el lado del cliente de Android](android-app-pentesting/#android-client-side-injections-and-others) (probablemente un análisis de código estático ayudará aquí)
* [ ] [Frida](android-app-pentesting/#frida): Solo Frida, úsalo para obtener datos dinámicos interesantes de la aplicación (quizás algunas contraseñas...)
### Algunas informaciones sobre ofuscación/desofuscación
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. [**Pruébalo gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoy.
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
