Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. :think_bread:
https://gitlab.com/fdroid/fdroidserver/-/merge_requests/1466
#fdroid #android #security #sicherheit #poc
Die Lösung des Problems kurz skizziert: Eine gründliche Überarbeitung der Zertifikatsprüfung bei F-Droid, einschließlich der Einführung von Standards zur Prüfung aller Signaturblöcke (auch unbekannter) und einer korrekten Validierung von v1-Zertifikaten.