Mangelhafte Zertifikatsprüfung bei F-Droid

fm_quatre · 4. Januar 2025 um 11:58

Das Thema zieht sich schon eine ganze Weile durch, heute hat es Fefe (https://blog.fefe.de/?ts=9987de51) ins Tageslicht gezerrt. Grundlegend geht es darum, das beliebige Daten in die Signatur eingebettet werden können und es am Ende zwei Apps mit der gleichen Signatur möglicherweise existieren, obwohl die eine App vielleicht andere Dinge tut als die andere App.
Mehr zur ganzen Thematik hier: https://github.com/obfusk/fdroid-fakesigner-poc

sekret · 5. Januar 2025 um 16:58

Ja, schwieriges Thema! Hab es auch bei Fefe gesehen, aber weiß es eigentlich schon länger.

Was ich als nicht allzugroßer IT-Fachmann jetzt noch nicht ganz verstanden habe: Liegt das am F-Droid-Client oder -Server? Falls -Server, dann ist das natürlich problematisch, falls es um den Client geht, dann gibt es ja Alternativen.

luposgerus · 5. Januar 2025 um 17:35

Die Fehler passieren bereits auf den F-Droid-Servern. Da hilft es nicht, einen anderen Client zu nutzen.

Crey · 5. Januar 2025 um 19:17

Und was ist, wenn man als Paketquelle izzyondroid nutzt?

Die verspäteten Updates von F Droid nerven mich auch zusehends.

skalavagr · 5. Januar 2025 um 21:59

Man sollte wenn möglich auf den Einsatz von F-Droid verzichten, da F-Droid einige Sicherheitsmängel besitzt.
Diese werden auch von GrapheneOS kritisiert:
https://discuss.grapheneos.org/d/18731-f-droid-vulnerability-allows-bypassing-certificate-pinning/15

timbuktu · 6. Januar 2025 um 06:49

Das betrifft anscheinend nur die „reproduzierbaren builds“ bei denen die Signatur von Entwickler übernommen wird. Apps die von f-droid gebaut und signiert werden, sind nicht betroffen:

https://floss.social/@IzzyOnDroid/113777629521555000

audofriemler · 6. Januar 2025 um 09:53

Side Of Burritos hat auf YouTube mal Videos dazu gemacht.

Ich bin mit Obtanium unterwegs und damit sehr zufrieden.

NSA · 6. Januar 2025 um 11:06

Aber bei Obtanium findet doch gleich überhaupt keine Überprüfung statt, oder?
Wenn dem so ist, dann ist es in meinen Augen überhaupt nicht empfehlenswert.
Oder sehe ich das falsch?

kuketzblog · 6. Januar 2025 um 11:18

Korrekt. Findet keine Prüfung statt.

fm_quatre · 6. Januar 2025 um 13:24

Bleibt am Ende auch nur die Prüfung, z.B. auch bei Virustotal oder Jottis hochladen, um zumindest grob erstmal was auszuschließen was bisher bekannt ist an Schadsoftware.

DwainZwerg · 6. Januar 2025 um 15:34

Man kann ja auch mit Obtainium nur von F-Droid oder dem Google Play Store überprüfte Apps vom Hersteller statt aus einem der beiden Stores downloaden.

Eulenspiegel · 7. Januar 2025 um 11:27

Aber bedeutet das nicht, dass das Problem Sicherheitsmängel bei F-Droid, welches man mit Obtainium umgehen wollte, wieder da ist? (wenn man per Obtainium die F-Droid-Quelle nutzt)

Und bedeuten die ganzen Beiträge hier, dass der „beste Weg“ der Play Store (z.B. per Obtainium oder Aurora) wäre?

Bin da ziemlich verunsichert, wie man sich da verhalten soll. Aussitzen und hoffen, dass F-Droid seine Probleme in den Griff kriegt ist etwas unbefriedigend.

DwainZwerg · 8. Januar 2025 um 07:33

Ja, wenn man die F-Droid-Quelle nutzt. Wenn man nur die von irgendjemand (also den beiden Stores Google Play Store oder F-Droid) überprüften Apps direkt vom Developer (also eben nicht von F-Droid) runterlädt, ist das Restrisiko nicht so hoch (natürlich hast du immer noch das Problem, dass die eine App evtl. manipuliert und die von F-Droid sicher sein kann; du lässt aber wenigstens nicht einer weiteren Instanz Chance die App zu manipulieren und dem Dev musst du sowieso vertrauen).

Mit Obtainium kann man die Apps nicht aus dem Play Store abrufen. Wie kommst du darauf; hast du dir die Beschreibung auf GitHub durchgelesen?

Gerade Aurora hat eigene Probleme, weshalb Sicherheitsexperten empfehlen, keinen anonymen Account, sondern einen eigenen Wegwerfaccount zu verwenden.

Eulenspiegel · 8. Januar 2025 um 09:35

Jetzt bin ich maximal verwirrt. Wenn ich in Obtainium die Quelle überschreibe (z.B. F-Droid auswähle), bedeutet das dann, dass Obtainium von F-Droid herunter lädt? Und im Gegenzug, wenn ich direkt von der eingetragenen Github/releases - Seite herunterlade, inwiefern sind die Apps von Stores überprüft worden? Oder kommt hier AppVerifier ins Spiel?

Habe ich. Aber entweder verstehe ich etwas falsch, oder du hast dich vertan. Eine Einstellung in Obtainium besagt: „Google Play als Installationsquelle festlegen (wenn Shizuku verwendet wird)“
Es braucht einen Extraschritt, aber scheint möglich (habe es nicht ausprobiert).

phone-company · 8. Januar 2025 um 10:37

Tatsächlich ist meiner Meinung nach der google Playstore der sicherste Ort für Apps auch wenn das sicher nicht alle wahrhaben wollen

jdevlx · 8. Januar 2025 um 11:10

Die Aussage ist erwartbar aber in sich widersprüchlich. Zunächst beginnt man mit „Tatsächlich“ und endet mit „wahrhaben wollen“. Damit suggeriert man, das es die einzig richtige Aussage ist.
Damit diese unbelegte Behauptung nicht einfach als solche auffällt, wird das Fragment „meiner Meinung“ eingebaut.

Kommunikation im Zeitalter der Influencer und Sockenpuppen.

Nach wie vor und trotz „Zertifikatsprüfung verkackt“, ist der F-Droid-Store die transparenteste Plattform. Zudem bemüht man sich redlich, das Problem zu beseitigen und ist darin vollkommen transparent.

kuketzblog · 8. Januar 2025 um 11:23

Bislang ist mir nicht bekannt, dass im F-Droid-Store eine schadhafte App gefunden wurde. Das ist im Google Play Store regelmäßig anders.

Noch ein Auszug aus einem etwas älteren Beitrag:

Benutzung auf eigene Gefahr: In den Nutzungsbedingungen zum F-Droid Store weisen die Betreiber darauf hin, dass sie trotz aller Anstrengungen nicht vollständig gewährleisten können, dass keine Schadsoftware über den F-Droid Store angeboten wird:

Although every effort is made to ensure that everything in the repository is safe to install, you use it AT YOUR OWN

Vor der Veröffentlichung einer App prüfen die F-Droid-Betreiber jedoch den Quellcode der jeweils einzustellenden App auf potenzielle Sicherheits- bzw. »Datenschutz«-Probleme. Stellen sie keine Probleme fest, kompilieren sie diese und stellen die App im F-Droid Store bereit. Weil dieses Prozedere kein tiefes bzw. vollständiges »Code-Audit« darstellt, sollte man den F-Droid Store nicht als Garant für einen schadsoftwarefreien Marktplatz verstehen. Vielmehr müssen wir auch diesen Apps immer ein gesundes Misstrauen entgegenbringen. Denn die Frage, ob eine App schadhaft ist oder nicht, lässt sich oftmals erst durch ausgiebige und umfangreiche Langzeittests der App beantworten. Diese kann und will der F-Droid-Betreiber (verständlicherweise) nicht leisten. Ein erstes »Manko« des F-Droid Stores ist daher, dass eine neu einzustellende App grundsätzlich nicht vollumfänglich geprüft wird bzw. werden kann. Dieses ist, jedenfalls nach Angaben von Google bspw. beim Google Play Store anders. Bevor eine neue App in den Google Play Store aufgenommen wird, prüfen u.a. sog. Bouncer diese automatisch auf »Schadsoftware«. Dabei werden die Apps in einer virtuellen Umgebung (ähnlich wie bei Antivirenscannern) zur Ausführung gebracht und abgeschirmt vom Hauptsystem auf ihr Verhalten und ihre Funktionsweise untersucht. Diese Maßnahme klingt sehr vielversprechend, aber wie die nachfolgend dargestellten Beispiele verdeutlichen sollen, kann auch Google einen schadsoftwarefreien Store dadurch nicht gewährleisten:

Google Play: Millionenfach verbreitete Kamera-Apps klauen Fotos (Februar 2019)

Fake-App in Googles Play Store sollte Kryptogeld stehlen (Februar 2019)

Trojaner-Apps mit 4,5 Millionen Downloads in Google Play entdeckt (Januar 2018)

Eine Million Android-Nutzer laden falschen WhatsApp-Messenger aus Google Play (November 2017)

Android-Spyware drei Jahre lang im Play Store unentdeckt (April 2014)

Für den F-Droid Store ist mir hingegen bisher nicht bekannt, dass dort eine schadhafte App gefunden wurde. Ein wenig überspitzt gesagt, lässt sich deshalb der Schluss ziehen, dass F-Droid damit eigentlich der »schadsoftwarefreie« Store zu sein scheint.

Dennoch ist es wichtig, die in F-Droid entdeckten Probleme nicht zu verharmlosen, sondern aktiv anzugehen und offen mit der Community zu kommunizieren.

phone-company · 8. Januar 2025 um 13:43

Du soweit denke ich bei meinen Antworten nicht als das sie manipulativ sein sollten oder so …. Ich denke mir nur das der Playstore relativ gut gewartet und geprüft wird ansonsten wüssten wir nicht das da ab und an auch mal eine schlechte App dabei ist. Wie gut Github gewartet und geprüft wird weiß ich nicht bei fdroid ist es ja schon länger im Gespräch wohl

Nana · 8. Januar 2025 um 13:50

Es gibt dabei noch den Aspekt, dass sich Apps je nach Quelle auch unterscheiden können. Die Playstore-Version kann zB Tracker enthalten, die für den F-Droid-Store entfernt wurden. Und die F-Droid-Version kann Features haben, die Google nicht duldet.

hoxert37 · 8. Januar 2025 um 19:21

Sorry, Frage in die Runde und v.a. auch an @kuketzblog:
Was ist nun die Kernmessage?
Weiter F-Droid nutzen - oder lieber doch nicht?
Gibt es berechtigte Hoffnung, das F-Droid sicherer wird?
Einige Apps habe ich auf das angeblich besser geprüfte Repo von IzzyOnDroid umgestellt.
Aber die meisten Apps, die ich brauche gibt, gibt es dort nicht sondern nur bei
F-Droid.
Und wie schon oben didkutiert wurde:
Die Sicherheit vom Aurora Store ist auch fraglich - außer evtl. mit eigenem Account, der Playstor auch. Die Developer Repos - naja…
Was bleibt denn nun noch als einigermassen sichere Bezugsquelle.
Ich bin leider ratlos…