F-Droid 签名验证漏洞:伪造签名者PoC
2025-01-04
该项目是一个概念验证,演示了 F-Droid 中 APK 签名验证过程中的漏洞。攻击者可以利用该漏洞伪造签名,绕过 F-Droid 的证书固定机制,从而使恶意应用伪装成合法应用。该漏洞源于 F-Droid 在处理 APK 签名块中的证书时存在顺序和验证问题,攻击者可以利用这些问题插入伪造的证书信息,让 F-Droid 误认为其为合法签名。该研究者已公开该漏洞并提供修复建议,但 F-Droid 的修复方案存在缺陷,该项目持续更新了多个漏洞利用方法。