Heute, am 15. April 2026, geht diese Website live. Das hier ist der erste Eintrag. Kein großes Intro, kein Fake-Expertentum. Nur ich, mein Interesse an Android Security – und der Entschluss, meinen Weg von Anfang an öffentlich zu machen.
Wer bin ich – wirklich?
Ich bin KenSySec. Ich stehe am Anfang meiner Karriere in der IT-Sicherheit. Kein abgeschlossenes Studium in Cybersecurity, kein jahrelanges Pentest-Portfolio, keine liste an bezahlten Bugs auf HackerOne. Noch nicht.
Was ich habe: echtes Interesse, die Bereitschaft, täglich etwas Neues zu lernen – und die Entscheidung, mich auf eine Sache zu fokussieren: Android Security.
Warum Android?
Die Frage bekomme ich schon von Leuten, denen ich davon erzählt habe. Warum nicht "allgemeine" Cybersecurity? Warum nicht Web-Hacking, das doch überall gefragt ist?
Meine Antwort: Weil mich Android fasziniert. Weil fast jeder Mensch auf diesem Planeten ein Android-Gerät in der Tasche hat. Weil die Angriffsfläche riesig ist – und weil Android-Security in Bug Bounty Programmen oft unterrepräsentiert ist.
Ich habe mich bewusst dagegen entschieden, "alles ein bisschen" zu machen. Ich will lieber in einem Bereich wirklich gut werden, als in zehn Bereichen mittelmäßig. Das ist der Plan.
Was ich heute schon kann – und was (noch) nicht
Ehrlichkeit ist mir wichtig, deshalb hier ein realistisches Bild:
Was ich bereits mache: APKs mit jadx decompilieren, grundlegendes Smali lesen, ADB-Befehle, Burp Suite für Traffic-Interception, erste Schritte mit Frida, CTF-Challenges auf Plattformen wie HackTheBox und PicoCTF.
Was ich noch lerne: Tieferes Frida-Scripting, komplexe Obfuskierung in produktiven Apps, das OWASP MASTG wirklich von Anfang bis Ende durcharbeiten, und meinen ersten echten Bug in einem Bug-Bounty-Programm finden.
Das klingt vielleicht wenig. Aber ich weiß genau, wo ich stehe – und ich weiß, wohin ich will. Das ist mehr wert als ein aufgeblasenes "Ich kann alles"-Profil.
Was dieser Blog sein wird
Kein Tutorial-Blog im klassischen Sinne. Keine kopierten Writeups von YouTube. Stattdessen:
- Ehrliche CTF-Writeups – was hat funktioniert, was nicht, welche Denkfehler hatte ich
- Learning-Logs – was ich diese Woche über Android Security gelernt habe
- Tool-Erkundungen – wie ich Frida, jadx, MobSF & Co. in der Praxis einsetze
- Fortschritt – sobald ich echte Bug-Bounty-Findings habe, werde ich sie (nach Disclosure) teilen
Der Gedanke dahinter: Wenn jemand anderes gerade am gleichen Punkt steht wie ich – am Anfang, unsicher, aber motiviert – soll dieser Blog zeigen, dass man nicht erst "fertig" sein muss, um anzufangen.
Was heute noch passiert ist
Heute war technisch ein produktiver Tag. Neben dem Aufsetzen dieser Website habe ich:
- Die Grundstruktur des Blogs angelegt und das Design finalisiert
- Mit dem OWASP Mobile Application Security Testing Guide (MASTG) angefangen – Kapitel 1 und 2 gelesen
- Meine lokale Android-Testumgebung aufgeräumt: Genymotion-Emulator, Frida-Server, Burp-Zertifikat installiert
- Eine erste einfache Frida-Session gegen eine Test-APK gemacht – Method-Hooking auf eine Klasse, die ich selbst geschrieben hatte
"Der beste Zeitpunkt anzufangen war gestern. Der zweitbeste Zeitpunkt ist jetzt."
Was als nächstes kommt
Mein nächstes Ziel: Die erste richtige Android-CTF-Challenge auf HackTheBox lösen und hier dokumentieren. Ich habe mir bereits "Anchored" vorgenommen – eine Challenge, bei der Root Detection mit Frida bypassed werden muss.
Wenn das klappt, kommt der Writeup dazu. Wenn ich dabei scheitere, kommt ein Eintrag darüber, warum ich gescheitert bin und was ich daraus gelernt habe. So oder so: Es wird dokumentiert.
Falls du gerade selbst am Anfang stehst: Du bist nicht allein. Schreib mir gerne – entweder über das Kontaktformular oder direkt per Mail. Ich freue mich über jeden Austausch.
— KenSySec