Utilice [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas de la comunidad más avanzadas del mundo.\
* ¿Trabaja en una **empresa de ciberseguridad**? ¿Quiere ver su **empresa anunciada en HackTricks**? ¿O quiere tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulte los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenga el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únase al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígame en****Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparta sus trucos de hacking enviando PR a los repositorios [hacktricks](https://github.com/carlospolop/hacktricks) y [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
* [ ] Verifique el uso de [ofuscación](android-checklist.md#some-obfuscation-deobfuscation-information), compruebe si el móvil está rooteado, si se está utilizando un emulador y comprobaciones de anti-manipulación. [Lea esto para obtener más información](android-app-pentesting/#other-checks).
* [ ] Las aplicaciones sensibles (como las aplicaciones bancarias) deben comprobar si el móvil está rooteado y actuar en consecuencia.
* [ ] Especial atención a las API de [firebase](android-app-pentesting/#firebase).
* [ ] [Lea el manifiesto:](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
* [ ] Compruebe si la aplicación está en modo de depuración e intente "explotarla"
* [ ] Compruebe si el APK permite copias de seguridad
* [ ] Actividades exportadas
* [ ] Proveedores de contenido
* [ ] Servicios expuestos
* [ ] Receptores de difusión
* [ ] Esquemas de URL
* [ ] ¿La aplicación está guardando datos de forma insegura interna o externamente](android-app-pentesting/#insecure-data-storage)?
* [ ] ¿Hay alguna [contraseña codificada o guardada en disco](android-app-pentesting/#poorkeymanagementprocesses)? ¿La aplicación [usa algoritmos de cifrado inseguros](android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
* [ ] ¿Se han compilado todas las bibliotecas utilizando la marca PIE?
* [ ] No olvide que hay un montón de [Analizadores estáticos de Android](android-app-pentesting/#automatic-analysis) que pueden ayudarle mucho durante esta fase.
* [ ] Prepare el entorno ([en línea](android-app-pentesting/#online-dynamic-analysis), [VM local o física](android-app-pentesting/#local-dynamic-analysis))
* [ ] ¿Hay alguna [fuga de datos no intencional](android-app-pentesting/#unintended-data-leakage) (registro, copiar/pegar, registros de fallos)?
* [ ] ¿Se están guardando [información confidencial en bases de datos SQLite](android-app-pentesting/#sqlite-dbs)?