Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.
Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.
Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend. :think_bread:
https://gitlab.com/fdroid/fdroidserver/-/merge_requests/1466
#fdroid #android #security #sicherheit #poc
@[email protected] was wäre deine Empfehlung? Fdroid vom Handy löschen bis es gefixt ist?
Finde ich trotzdem heftig:
Trotz angebotener Hilfe (Patches auf dem Silbertablett) wird in alter Manier "verschlimmbessert".Stellt den Ansatz von open source auch irgendwie in Frage.
Hin und wieder sollte man doch über seinen Schatten springen.Die Lösung des Problems kurz skizziert: Eine gründliche Überarbeitung der Zertifikatsprüfung bei F-Droid, einschließlich der Einführung von Standards zur Prüfung aller Signaturblöcke (auch unbekannter) und einer korrekten Validierung von v1-Zertifikaten.
Zitat: [...] Especially it does not affect the repository on f-droid.org to our knowledge.
Natürlich tut es das. F-Droid signiert zwar selbst, übernimmt aber bei reproduzierbaren Builds die APKs inkl. Signatur der Entwickler. Fehlerhafte Signaturprüfungen können dazu führen, dass manipulierte oder unsichere APKs akzeptiert werden.
Edit: "bei reproduzierbaren Builds" hinzugefügt.
@[email protected] Das geht nicht nur dir so