¿Cargar malware en el repositorio de F-Droid?

4

¿Cómo es el proceso de auditoría / investigación para obtener una aplicación de Android en el repositorio de F-Droid? Para preguntarlo de otra manera, ¿qué puede hacer para evitar que un desarrollador malvado cargue una aplicación de Android de puerta trasera en los repositorios de F-Droid?

    
pregunta user194879 19.12.2018 - 04:39
fuente

2 respuestas

1

Definitivamente hay peligros en la descarga de aplicaciones desde repositorios de terceros. Vea este ejemplo reciente, donde se hospedó una aplicación en un repo de terceros robé dinero de las cuentas de PayPal del usuario una vez que se instaló.

En cuanto a F-Droid en particular, su documentación del desarrollador no explica cómo / si Ellos auditan los envíos. Esto puede ser porque:

  1. No auditan los envíos.
  2. Hacen una auditoría, pero no quieren revelar información sobre el proceso, ya que esto puede hacer que sea más fácil para los usuarios malintencionados eludir dicho proceso.
  3. Hacen auditorías, pero no han publicado los detalles porque no han tenido tiempo o no es una prioridad para ellos.

La única forma de obtener más información acerca de su proceso de auditoría es probablemente acercarse a ellos y preguntar, pero en general recomendaría precaución al descargar aplicaciones desde un repositorio de terceros. Es muy posible que estas aplicaciones tengan una puerta trasera o contengan código malicioso.

    
respondido por el Aide 19.12.2018 - 05:55
fuente
1

El "Módulo de seguridad" según el enlace a continuación establece claramente lo siguiente:

Sus precauciones de seguridad:

  

se toman precauciones de seguridad adicionales para hacerlo tan difícil como   posible explotar este vector.

     
  • incluido en la lista de precarga HSTS, por lo que los principales navegadores solo usarán HTTPS para todas las conexiones a f-droid.org
  •   
  • una configuración TLS / HTTPS fuerte
  •   
  • una política de seguridad de contenido HTTP fuerte
  •   
  • firma PGP en el enlace de descarga de la instalación inicial
  •   
  • auditorías automáticas regulares y aleatorias que F-Droid.apk no ha sido manipulado
  •   
  • F-Droid Limited controla muchos dominios potenciales de phishing como fdroid.org, f-droid.com y f-dro1d.org.
  •   
  • el sitio web se genera estáticamente para reducir considerablemente la superficie de ataque
  •   
  • el sitio web es totalmente funcional cuando Javascript está deshabilitado en el navegador, eliminando toda posibilidad de ataques XSS
  •   

Y en cuanto a la aplicación en la aplicación:

  

Protección contra datos maliciosos generados por colaboradores

     
  • Las descripciones de las aplicaciones son enviadas por todo tipo de personas, y   También se puede tomar desde el repositorio de origen de la aplicación. Este dato es   finalmente entregado al cliente de Android o al navegador del usuario a través de   f-droid.org.

  •   
  • el cliente de Android nunca ejecuta CSS, Javascript o etiquetas HTML peligrosas ya que muestra HTML a través de android.text.Html.fromHtml () con   imagen cargando deshabilitado

  •   
  • el sitio web f-droid.org protege contra inyecciones malintencionadas y CSS / HTML / Javascript con una seguridad de contenido HTTP estricta   Política.
  •   
  • Repomaker filtra los textos a través del blanqueador de Mozilla y tiene una buena Política de Seguridad de Contenido HTTP.
  •   

Respondiendo a tu pregunta: (Reddit Source)

  

Como han dicho otros, no auditamos cada aplicación que lo hace   en la tienda Pero nos aseguramos de que todo sea software libre,   y hacer pruebas / investigar hasta cierto punto.

     

Recientemente se realizó un estudio sobre la cantidad de aplicaciones de malware en cada   tienda de aplicaciones para Android. No puedo encontrarlo ahora, pero IIRC era un pdf y   Debería haber sido publicado en el último año. Básicamente, lo que decía.   es que muchas tiendas alternativas más pequeñas que Google Play estaban cerca de   al no tener malware, pero solo uno no tenía absolutamente nada: F-Droid.

     

Supongo que lo que estoy tratando de decir es que no estamos a prueba de balas, y   Nunca dije que lo fuéramos. Nuestra única promesa a los usuarios es que los apks que   Distribuir provienen de la fuente que está disponible públicamente, y tienen   sido construido y distribuido por las herramientas del servidor F-Droid que también son   software libre. Hasta ahora, esta política parece haber funcionado bien :)

Enlaces :

enlace Reddit, respondiendo a la pregunta del OP

enlace Source

enlace Recomendado

    
respondido por el Sec Karma 19.12.2018 - 11:21
fuente

Lea otras preguntas en las etiquetas