برنامج إثبات المفهوم لمُوقّع F-Droid المُزيّف: تجاوز تثبيت الشهادة
2025-01-04
هذا المشروع هو برهان مفهوم يُظهر ثغرات أمنية في عملية التحقق من توقيع APK في F-Droid. يمكن للمهاجمين استغلال هذه الثغرات لتزوير التوقيعات، وتجاوز آلية تثبيت الشهادة في F-Droid، مما يسمح للتطبيقات الضارة بالظهور بشكل شرعي. تنبع الثغرات من عدم الاتساق في كيفية تعامل F-Droid مع ترتيب الشهادات والتحقق منها داخل كتلة توقيع APK. من خلال التلاعب بهذه التناقضات، يمكن للمهاجمين حقن معلومات شهادات مزيفة، مما يُخدع F-Droid لقبولها على أنها صالحة. على الرغم من اقتراح إصلاحات وتنفيذها، إلا أنه تم اكتشاف المزيد من الثغرات الأمنية وطرق التحايل، مما يُبرز التحديات المستمرة في تأمين التحقق من توقيع APK.