Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

@pixelschubsi @stefanjahn @marcelklehr Das ist der Worst-Case, ja. Daher: »Fehlerhafte Signaturprüfungen können dazu führen, dass manipulierte oder unsichere APKs akzeptiert werden.«

Das ist genau der von dir beschriebene Fall. Wie wahrscheinlich dieser ist, das ist schwierig abzuschätzen.

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Wie gesagt, für diesen Angriff müsste der Schadcode, der den Schadcode aus der Signatur nachlädt, bereits im Open-Source code der App sein. Wenn wir bereits Schadcode im Open-Source code der App annehmen, kann durch diese Lücke auch kein zusätzlicher Schaden entstehen.

Ich will nicht sagen, dass man diese Lücke nicht schließen sollte. Es ist aber ein Klassiker in der Community, bei einem sehr komplexen Thema wie diesem einfach ohne Verstand drauf zu hauen…

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

@pixelschubsi@troet.cafe @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Ich nehme bisher kein »Draufhauen« wahr, sondern dass eine gemeldete Lücke nicht geschlossen/behoben wird, obwohl lange bekannt.

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org du meinst seit ein Paar Tagen mit “lange”? Die ursprüngliche Lücke die letzten April gefunden wurde, wurde bereits letzten Mai geschlossen, es wurde nur vor ein Paar Tagen eine neue Lücke an ähnlicher Stelle im gleichen repository als “Update” veröffentlicht.

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog @stefanjahn @marcelklehr Interessant auch, dass keiner in der Community bemängelt, dass hier kein responsible disclosure zum Einsatz kam. Klar, muss man nicht, aber dann ist die Beschwerde, dass eine Lücke mit effektiv geringem Impact nicht in 7 Tagen über Neujahr gefixt wurde doch schon etwas abgehoben.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

@pixelschubsi @stefanjahn @marcelklehr Das wird hier aber anders dargestellt: https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2024-12-30-1

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Nein, das wird da genauso dargestellt. Das ursprüngliche Problem wurde durch Änderungen, die die F-Droid-Entwickler selbst gemacht haben behoben, die patches des Entdeckers der Lücke wurden nicht genutzt. Bei den Änderungen von F-Droid selbst gab es bekannte Probleme, die aber keine Sicherheitslücken darstellten. Eine Sicherheitslücke darin wurde erst mit Datum 2024-12-30 gefunden und direkt veröffentlicht. Der Finder selbst sieht den impact aber “lower”.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

@pixelschubsi@troet.cafe @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Ich interpretiere das anders: "Instead of adopting the fixes we proposed, F-Droid wrote and merged their own patch [10], ignoring repeated warnings it had significant flaws (including an incorrect implementation of v1 signature verification and making it impossible to have APKs with rotated keys in a repository). […]

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Naja, man muss dazu natürlich wissen, dass die “significant flaws” eben keine Sicherheitslücken sind; das wird ja auch nicht behauptet. Es werden halt technisch korrekte APKs als ungültig abgelehnt. Ist ein Problem, sollte man auch beheben, aber ist eben keine Sicherheitslücke.