this post was submitted on 06 Jan 2025
1 points (100.0% liked)

Android

0 readers
1 users here now

Android news, reviews, tips, and discussions about rooting, tutorials, and apps.

General discussion about devices is welcome. Please direct technical support, upgrade questions, buy/sell, app recommendations, and carrier-related issues to other communities.

[email protected]

Rules

Rules

  1. Stay on topic: All posts should be related to the Android operating system or ecosystem.
  2. No support questions/rants/bug reports: All posts should benefit the community rather than the individual. Please refrain from posting individual support questions, rants, or bug reports.
  3. Describe images/videos: Please provide an explanation in the self-post body when sharing images or videos. Memes are not allowed.
  4. No self-promotional spam: Only active members of the community can post their apps, and they must participate in comments. Please do not post your own website, YouTube, or blog.
  5. No reposts/rehosted content: Submit original sources whenever possible, unless the content is not available in English. Reposts about the same content are not allowed.
  6. No editorializing titles: Do not change article titles when submitting. You may add the author if relevant.
  7. No piracy: Do not share or discuss pirated content.
  8. No unauthorized polls/bots/giveaways: Do not create unauthorized polls, use bots, or organize giveaways without proper authorization.
  9. No offensive/low-effort content: Avoid posting offensive or low-effort content that does not contribute positively to the community.
  10. No affiliate links: Posting affiliate links is not allowed.

founded 2 years ago
MODERATORS
[email protected]
1
Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. (social.tchncs.de)
submitted 3 weeks ago by [email protected] to c/[email protected]
31 comments fedilink hide all child comments
 

Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. :think_bread:

https://gitlab.com/fdroid/fdroidserver/-/merge_requests/1466

#fdroid #android #security #sicherheit #poc

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 0 points 3 weeks ago (1 children)

@pixelschubsi @stefanjahn @marcelklehr Das wird hier aber anders dargestellt: https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2024-12-30-1

[–] [email protected] 1 points 3 weeks ago (1 children)

@[email protected] @[email protected] @[email protected] Nein, das wird da genauso dargestellt. Das ursprüngliche Problem wurde durch Änderungen, die die F-Droid-Entwickler selbst gemacht haben behoben, die patches des Entdeckers der Lücke wurden nicht genutzt. Bei den Änderungen von F-Droid selbst gab es bekannte Probleme, die aber keine Sicherheitslücken darstellten. Eine Sicherheitslücke darin wurde erst mit Datum 2024-12-30 gefunden und direkt veröffentlicht. Der Finder selbst sieht den impact aber "lower".

[–] [email protected] 1 points 3 weeks ago (1 children)

@[email protected] @[email protected] @[email protected] Ich interpretiere das anders: "Instead of adopting the fixes we proposed, F-Droid wrote and merged their own patch [10], ignoring repeated warnings it had significant flaws (including an incorrect implementation of v1 signature verification and making it impossible to have APKs with rotated keys in a repository). [...]

[–] [email protected] 1 points 3 weeks ago

@[email protected] @[email protected] @[email protected] Naja, man muss dazu natürlich wissen, dass die "significant flaws" eben keine Sicherheitslücken sind; das wird ja auch nicht behauptet. Es werden halt technisch korrekte APKs als ungültig abgelehnt. Ist ein Problem, sollte man auch beheben, aber ist eben keine Sicherheitslücke.