PoC de Firmador Falso de F-Droid: Elusión de la Fijación de Certificados
Este proyecto es una prueba de concepto que demuestra vulnerabilidades en la verificación de firmas de APK de F-Droid. Los atacantes pueden explotar estas fallas para falsificar firmas, eludiendo el mecanismo de fijación de certificados de F-Droid y permitiendo que aplicaciones maliciosas se hagan pasar por legítimas. Las vulnerabilidades provienen de inconsistencias en cómo F-Droid maneja el orden de los certificados y la verificación dentro del bloque de firma de APK. Manipulando estas inconsistencias, los atacantes pueden inyectar información de certificados falsos, engañando a F-Droid para que los acepte como válidos. Aunque se han propuesto e implementado correcciones, se han descubierto nuevas vulnerabilidades y métodos de elusión, lo que destaca los desafíos continuos en la seguridad de la verificación de firmas de APK.