hacktricks/mobile-pentesting/android-checklist.md

Android APK Checklist

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Überprüfe die Abonnementpläne!
• Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
• Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

---

Lerne die Grundlagen von Android

• Grundlagen
• Dalvik & Smali
• Einstiegspunkte
• Aktivitäten
• URL-Schemata
• Inhaltsanbieter
• Dienste
• Broadcast-Empfänger
• Intents
• Intent-Filter
• Andere Komponenten
• Wie man ADB verwendet
• Wie man Smali modifiziert

Statische Analyse

• Überprüfe die Verwendung von Obfuskation, überprüfe, ob das Mobilgerät gerootet ist, ob ein Emulator verwendet wird und Anti-Tampering-Überprüfungen. Lies dies für mehr Informationen.
• Sensible Anwendungen (wie Bank-Apps) sollten überprüfen, ob das Mobilgerät gerootet ist und entsprechend handeln.
• Suche nach interessanten Zeichenfolgen (Passwörter, URLs, API, Verschlüsselung, Hintertüren, Tokens, Bluetooth UUIDs...).
• Besondere Aufmerksamkeit auf FirebaseAPIs.
• Lies das Manifest:
• Überprüfe, ob die Anwendung im Debug-Modus ist und versuche, sie "auszunutzen".
• Überprüfe, ob die APK Backups zulässt.
• Exportierte Aktivitäten.
• Inhaltsanbieter.
• Exponierte Dienste.
• Broadcast-Empfänger.
• URL-Schemata.
• Speichert die Anwendung Daten unsicher intern oder extern? Insecure Data Storage?
• Gibt es ein Passwort, das hart codiert oder auf der Festplatte gespeichert ist? Verwendet die App unsichere kryptografische Algorithmen?
• Sind alle Bibliotheken mit dem PIE-Flag kompiliert?
• Vergiss nicht, dass es eine Menge statischer Android-Analyzer gibt, die dir in dieser Phase sehr helfen können.

Dynamische Analyse

• Bereite die Umgebung vor (online, lokale VM oder physisch)
• Gibt es unbeabsichtigte Datenlecks (Protokollierung, Kopieren/Einfügen, Absturzprotokolle)?
• Vertrauliche Informationen, die in SQLite-Datenbanken gespeichert werden?
• Ausnutzbare exportierte Aktivitäten?
• Ausnutzbare Inhaltsanbieter?
• Ausnutzbare exponierte Dienste?
• Ausnutzbare Broadcast-Empfänger?
• Überträgt die Anwendung Informationen im Klartext/verwendet sie schwache Algorithmen? Insufficient Transport Layer Protection? Ist ein MitM möglich?
• HTTP/HTTPS-Verkehr inspizieren
• Dies ist wirklich wichtig, denn wenn du den HTTP-Verkehr erfassen kannst, kannst du nach häufigen Web-Schwachstellen suchen (Hacktricks hat viele Informationen über Web-Schwachstellen).
• Überprüfe auf mögliche Android-Client-Seiten-Injektionen (wahrscheinlich wird hier eine statische Codeanalyse helfen).
• Frida: Nur Frida, benutze es, um interessante dynamische Daten aus der Anwendung zu erhalten (vielleicht einige Passwörter...).

Einige Informationen zur Obfuskation/Deobfuskation

• Hier lesen

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Überprüfe die Abonnementpläne!
• Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
• Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}