this post was submitted on 06 Jan 2025
1 points (100.0% liked)

Android

0 readers
1 users here now

Android news, reviews, tips, and discussions about rooting, tutorials, and apps.

General discussion about devices is welcome. Please direct technical support, upgrade questions, buy/sell, app recommendations, and carrier-related issues to other communities.

[email protected]

Rules

Rules

  1. Stay on topic: All posts should be related to the Android operating system or ecosystem.
  2. No support questions/rants/bug reports: All posts should benefit the community rather than the individual. Please refrain from posting individual support questions, rants, or bug reports.
  3. Describe images/videos: Please provide an explanation in the self-post body when sharing images or videos. Memes are not allowed.
  4. No self-promotional spam: Only active members of the community can post their apps, and they must participate in comments. Please do not post your own website, YouTube, or blog.
  5. No reposts/rehosted content: Submit original sources whenever possible, unless the content is not available in English. Reposts about the same content are not allowed.
  6. No editorializing titles: Do not change article titles when submitting. You may add the author if relevant.
  7. No piracy: Do not share or discuss pirated content.
  8. No unauthorized polls/bots/giveaways: Do not create unauthorized polls, use bots, or organize giveaways without proper authorization.
  9. No offensive/low-effort content: Avoid posting offensive or low-effort content that does not contribute positively to the community.
  10. No affiliate links: Posting affiliate links is not allowed.

founded 2 years ago
MODERATORS
[email protected]
1
Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. (social.tchncs.de)
submitted 3 weeks ago by [email protected] to c/[email protected]
31 comments fedilink hide all child comments
 

Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. :think_bread:

https://gitlab.com/fdroid/fdroidserver/-/merge_requests/1466

#fdroid #android #security #sicherheit #poc

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 0 points 3 weeks ago (1 children)

@IzzyOnDroid @stefanjahn @marcelklehr @kuketzblog Das stimmt, ich hab ja auch "Updates" gesagt :) Wichtig ist und bleibt aber, dass nur der Original-Quellcode im F-Droid repository landet.

[–] [email protected] 0 points 3 weeks ago (1 children)

@pixelschubsi im F-Droid Repository landet die APK Datei 😉 Und das ist in diesem Fall die vom Entwickler. Der Quellcode selbst ist hier ja auch nicht das Problem (dafür wird ja auf RB geprüft) – es sind vielmehr die Signatur-Blöcke. Und die werden, wie Mike schon schrieb, nicht vollständig/korrekt geprüft. @stefanjahn @marcelklehr @kuketzblog

[–] [email protected] 0 points 3 weeks ago (1 children)

@IzzyOnDroid @stefanjahn @marcelklehr @kuketzblog Ja, aber kaputte Signatur-Blöcke haben halt keine Auswirkungen auf den ausgeführten Programmcode der Apps, wenn diese nicht im Quellcode schon Schadcode haben, der dynamisch Schadcode nachlädt. Die Signaturblöcke werden ja nicht einfach ausgeführt. Deswegen ist der maximale Impact hier eben, dass die App mit kaputten Signaturblöcken im Repository landet und deswegen Updates nicht mehr funktionieren.

[–] [email protected] 0 points 3 weeks ago (1 children)

@pixelschubsi lies den POC nochmal. In den Signaturblöcken kann man alles mögliche verstecken, und dann "anderweitig" zur Ausführung bringen. @stefanjahn @marcelklehr @kuketzblog

[–] [email protected] 0 points 3 weeks ago* (last edited 3 weeks ago) (1 children)

@IzzyOnDroid @stefanjahn @marcelklehr @kuketzblog Das gleiche gilt für alle anderen binaries die im Quellcode so rumfliegen, ich kann dir auch Schadcode in eine .png packen. Der Code der code aus Binärdateien oder Drittquellen ausliest und dynamisch zur Ausführung bringt ist IMO bereits Schadcode und sollte nie in F-Droid landen. Die Signaturblöcke sind zwar hier ein zusätzlicher Weg, aber eben bei weitem nicht der einzige um Schadcode auszuliefern, wenn Code dynamisch geladen wird.

[–] [email protected] 0 points 3 weeks ago (1 children)

@IzzyOnDroid @stefanjahn @marcelklehr @kuketzblog
Das Niveau auf dem wir uns hier bewegen ist nicht weit entfernt von:
"Kritische Sicherheitslücke in F-Droid: Wer einen Browser aus F-Droid installiert und dann damit auf eine Webseite geht, führt potentiell Schadcode (JavaScript) aus"

[–] [email protected] 0 points 3 weeks ago (1 children)

@pixelschubsi @IzzyOnDroid @stefanjahn @marcelklehr Hier werden einige Dinge absichtlich oder unabsichtlich durcheinander geworfen - mal schauen, ob ich das nochmal in einem Artikel beleuchte.

[–] [email protected] 1 points 3 weeks ago

@[email protected] @[email protected] @[email protected] @[email protected] Das klingt nach einer guten Idee. Frag doch dann am besten auch mal bei Hans nach und skizziere einen praktisch möglichen Angriff auf das F-Droid repository und erkläre inwiefern der nicht zuvor einen andere, schwerwiegenderen Angriff erfordert, statt nur so halbe Horrorstories.