¿Cómo es el proceso de auditoría / investigación para obtener una aplicación de Android en el repositorio de F-Droid? Para preguntarlo de otra manera, ¿qué puede hacer para evitar que un desarrollador malvado cargue una aplicación de Android de puerta trasera en los repositorios de F-Droid?
Definitivamente hay peligros en la descarga de aplicaciones desde repositorios de terceros. Vea este ejemplo reciente, donde se hospedó una aplicación en un repo de terceros robé dinero de las cuentas de PayPal del usuario una vez que se instaló.
En cuanto a F-Droid en particular, su documentación del desarrollador no explica cómo / si Ellos auditan los envíos. Esto puede ser porque:
La única forma de obtener más información acerca de su proceso de auditoría es probablemente acercarse a ellos y preguntar, pero en general recomendaría precaución al descargar aplicaciones desde un repositorio de terceros. Es muy posible que estas aplicaciones tengan una puerta trasera o contengan código malicioso.
El "Módulo de seguridad" según el enlace a continuación establece claramente lo siguiente:
Sus precauciones de seguridad:
se toman precauciones de seguridad adicionales para hacerlo tan difícil como posible explotar este vector.
- incluido en la lista de precarga HSTS, por lo que los principales navegadores solo usarán HTTPS para todas las conexiones a f-droid.org
- una configuración TLS / HTTPS fuerte
- una política de seguridad de contenido HTTP fuerte
- firma PGP en el enlace de descarga de la instalación inicial
- auditorías automáticas regulares y aleatorias que F-Droid.apk no ha sido manipulado
- F-Droid Limited controla muchos dominios potenciales de phishing como fdroid.org, f-droid.com y f-dro1d.org.
- el sitio web se genera estáticamente para reducir considerablemente la superficie de ataque
- el sitio web es totalmente funcional cuando Javascript está deshabilitado en el navegador, eliminando toda posibilidad de ataques XSS
Y en cuanto a la aplicación en la aplicación:
Protección contra datos maliciosos generados por colaboradores
Las descripciones de las aplicaciones son enviadas por todo tipo de personas, y También se puede tomar desde el repositorio de origen de la aplicación. Este dato es finalmente entregado al cliente de Android o al navegador del usuario a través de f-droid.org.
el cliente de Android nunca ejecuta CSS, Javascript o etiquetas HTML peligrosas ya que muestra HTML a través de android.text.Html.fromHtml () con imagen cargando deshabilitado
- el sitio web f-droid.org protege contra inyecciones malintencionadas y CSS / HTML / Javascript con una seguridad de contenido HTTP estricta Política.
- Repomaker filtra los textos a través del blanqueador de Mozilla y tiene una buena Política de Seguridad de Contenido HTTP.
Como han dicho otros, no auditamos cada aplicación que lo hace en la tienda Pero nos aseguramos de que todo sea software libre, y hacer pruebas / investigar hasta cierto punto.
Recientemente se realizó un estudio sobre la cantidad de aplicaciones de malware en cada tienda de aplicaciones para Android. No puedo encontrarlo ahora, pero IIRC era un pdf y Debería haber sido publicado en el último año. Básicamente, lo que decía. es que muchas tiendas alternativas más pequeñas que Google Play estaban cerca de al no tener malware, pero solo uno no tenía absolutamente nada: F-Droid.
Supongo que lo que estoy tratando de decir es que no estamos a prueba de balas, y Nunca dije que lo fuéramos. Nuestra única promesa a los usuarios es que los apks que Distribuir provienen de la fuente que está disponible públicamente, y tienen sido construido y distribuido por las herramientas del servidor F-Droid que también son software libre. Hasta ahora, esta política parece haber funcionado bien :)
Enlaces :
enlace Reddit, respondiendo a la pregunta del OP
enlace Source
enlace Recomendado