На пентесте финтех-приложения экспортированный ContentProvider без permission вытаскивал полную историю транзакций любого пользователя. От скачивания APK до рабочего PoC — двадцать минут. MobSF и внутренний аудит проблему пропустили: оба проверяли...Пентест Android приложений: от декомпиляции APK до эксплуатации deeplink и WebView
Источник: codeby.net