Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. :think_bread:

https://gitlab.com/fdroid/fdroidserver/-/merge_requests/1466

#fdroid #android #security #sicherheit #poc

  • pixelschubsi@troet.cafe
    link
    fedilink
    arrow-up
    0
    ·
    5 days ago

    @stefanjahn @marcelklehr @kuketzblog

    Das offizielle F-Droid repository benutzt diese Funktion auch in ihren Metadaten um bei reproduzierbar gebauten .apk die Signatur des ursprünglichen Entwicklers zu erzwingen. Allerdings werden wie bereits erwähnt, alle .apk die im F-Droid repository sind, auf dem Server von F-Droid gebaut und dann entweder eine eigene Signatur, oder im Falle reproduzierbaren .apk die Signatur der Original-App angehängt.

    • pixelschubsi@troet.cafe
      link
      fedilink
      arrow-up
      0
      ·
      5 days ago

      @stefanjahn @marcelklehr @kuketzblog

      Der schlimmstmögliche Angriff auf dem offiziellen F-Droid-Repository ist also nicht, wie von @kuketzblog behauptet, dass eine “manipulierte oder unsichere” .apk im offiziellen F-Droid repository landet, sondern nur, dass eine kaputte oder falsche Signatur an die reproduzierbar gebaute .apk angehängt wird.

      • pixelschubsi@troet.cafe
        link
        fedilink
        arrow-up
        0
        ·
        5 days ago

        @stefanjahn @marcelklehr @kuketzblog

        Das führt im schlimmsten Fall dazu, dass der Publisher einer App (der erst eine entsprechend präparierte .apk mit kaputter Signatur veröffentlichen muss) damit erreichen kann, dass Updates seiner eigenen App im F-Droid kaputte Signaturen haben und diese durch den Nutzer nicht mehr installierbar sind.

        Und ich bin mir nicht mal sicher, ob dieser Angriff überhaupt möglich ist, gegeben wie der Buildserver die Signatur kopiert.

        • pixelschubsi@troet.cafe
          link
          fedilink
          arrow-up
          0
          ·
          5 days ago

          @stefanjahn @marcelklehr @kuketzblog

          Theoretisch könnte man sich auch noch ein Szenario ausdenken, wo der Publisher einer App in der kaputten Signatur Schadcode einbettet und in dem reproduzierbar gebauten open source code seiner app Logik hat, die den Schadcode aus der Signatur sucht und ausführt. Da gibt es aber verschiedene Gründe die diesen “Angriff” nahezu unmöglich machen (Länge der Signatur, Einschränkungen in Android welcher Code ausführbar ist, usw.)

            • pixelschubsi@troet.cafe
              link
              fedilink
              arrow-up
              1
              ·
              5 days ago

              @kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Wie gesagt, für diesen Angriff müsste der Schadcode, der den Schadcode aus der Signatur nachlädt, bereits im Open-Source code der App sein. Wenn wir bereits Schadcode im Open-Source code der App annehmen, kann durch diese Lücke auch kein zusätzlicher Schaden entstehen.

              Ich will nicht sagen, dass man diese Lücke nicht schließen sollte. Es ist aber ein Klassiker in der Community, bei einem sehr komplexen Thema wie diesem einfach ohne Verstand drauf zu hauen…

              • Mike Kuketz 🛡@social.tchncs.deOP
                link
                fedilink
                arrow-up
                1
                ·
                5 days ago

                @pixelschubsi@troet.cafe @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Ich nehme bisher kein »Draufhauen« wahr, sondern dass eine gemeldete Lücke nicht geschlossen/behoben wird, obwohl lange bekannt.

                • pixelschubsi@troet.cafe
                  link
                  fedilink
                  arrow-up
                  1
                  ·
                  5 days ago

                  @kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org du meinst seit ein Paar Tagen mit “lange”? Die ursprüngliche Lücke die letzten April gefunden wurde, wurde bereits letzten Mai geschlossen, es wurde nur vor ein Paar Tagen eine neue Lücke an ähnlicher Stelle im gleichen repository als “Update” veröffentlicht.

                  • pixelschubsi@troet.cafe
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    5 days ago

                    @kuketzblog @stefanjahn @marcelklehr Interessant auch, dass keiner in der Community bemängelt, dass hier kein responsible disclosure zum Einsatz kam. Klar, muss man nicht, aber dann ist die Beschwerde, dass eine Lücke mit effektiv geringem Impact nicht in 7 Tagen über Neujahr gefixt wurde doch schon etwas abgehoben.