PoC de Assinador Falso do F-Droid: Contornando a Fixação de Certificado
Este projeto é uma prova de conceito que demonstra vulnerabilidades na verificação de assinatura de APKs do F-Droid. Ataques podem explorar essas falhas para falsificar assinaturas, contornando o mecanismo de fixação de certificado do F-Droid e permitindo que aplicativos maliciosos se façam passar por legítimos. As vulnerabilidades decorrem de inconsistências em como o F-Droid lida com a ordem dos certificados e a verificação dentro do bloco de assinatura de APK. Manipulando essas inconsistências, os atacantes podem injetar informações de certificados falsos, enganando o F-Droid a aceitá-los como válidos. Embora correções tenham sido propostas e implementadas, novas vulnerabilidades e métodos de contorno foram descobertos, destacando os desafios contínuos na segurança da verificação de assinatura de APKs.