F-Droid Fake Signer PoC: Umgehung der Zertifikatsprüfung
Dieses Projekt ist ein Proof-of-Concept, der Sicherheitslücken in der APK-Signaturprüfung von F-Droid aufzeigt. Angreifer können diese Schwachstellen ausnutzen, um Signaturen zu fälschen und die Zertifikatsprüfung von F-Droid zu umgehen. Dies ermöglicht es, bösartige Apps als legitim erscheinen zu lassen. Die Sicherheitslücken resultieren aus Inkonsistenzen in der Art und Weise, wie F-Droid die Reihenfolge der Zertifikate und die Überprüfung im APK-Signaturblock handhabt. Durch Manipulation dieser Inkonsistenzen können Angreifer gefälschte Zertifikatinformationen einfügen und F-Droid so täuschen, dass es diese als gültig akzeptiert. Obwohl Patches vorgeschlagen und implementiert wurden, wurden weitere Schwachstellen und Umgehungsmethoden entdeckt, was die anhaltenden Herausforderungen bei der sicheren Überprüfung von APK-Signaturen verdeutlicht.