F-Droid 가짜 서명 PoC: 인증서 고정 우회
2025-01-04
이 프로젝트는 F-Droid의 APK 서명 검증의 취약성을 보여주는 개념 증명입니다. 공격자는 이러한 결함을 이용하여 서명을 위조하고 F-Droid의 인증서 고정 메커니즘을 우회하여 악의적인 앱을 정상적인 앱으로 가장할 수 있습니다. 취약성은 F-Droid가 APK 서명 블록 내의 인증서 순서와 검증을 처리하는 방식의 불일치에서 비롯됩니다. 이러한 불일치를 조작하여 공격자는 가짜 인증서 정보를 삽입하고 F-Droid를 속여 유효한 서명으로 받아들이게 할 수 있습니다. 수정이 제안되고 구현되었지만, 추가적인 취약성과 우회 방법이 발견되었으며, APK 서명 검증의 보안에 있어 지속적인 과제를 강조하고 있습니다.