web-dev-qa-db-ja.com

マルウェアをF-Droidリポジトリにアップロードしますか?

AndroidアプリをF-Droidリポジトリに入れるには、どのような監査/審査プロセスが必要ですか?別の言い方をすれば、悪質な開発者がバックドアされたAndroidアプリをF-Droidリポジトリに追加しますか?

malwareandroidappsecmobilevirus
4
user194879

サードパーティのリポジトリからのアプリのダウンロードには危険が伴います。 this 最近の例を参照してください。サードパーティのレポでホストされているアプリがインストールされると、ユーザーのPaypalアカウントからお金が盗まれました。

特にF-Droidに関しては、彼らの 開発者用ドキュメント は、提出物を監査する方法/方法について詳しく述べていません。次の理由が考えられます。

  1. 彼らは提出物を監査しません。
  2. 彼らは監査を行いますが、悪意のあるユーザーがそのプロセスを迂回することを容易にする可能性があるため、プロセスに関する情報を開示したくありません。
  3. 彼らは監査を行いますが、時間がないため、または優先事項ではないため、詳細を公開していません。

監査プロセスに関する詳細情報を取得する唯一の方法は、おそらく彼らに連絡して質問することですが、全体的に、サードパーティのリポジトリからアプリをダウンロードするときは注意することをお勧めします。これらのアプリがバックドアされたり、悪意のあるコードが含まれたりする可能性が非常に高くなります。

1
Aide

以下のリンクにある「セキュリティモジュール」には、次のことが明記されています。

彼らのセキュリティ対策:

このベクトルの悪用を可能な限り困難にするために、追加のセキュリティ対策が講じられています。

  • hSTSプリロードリストに含まれているため、主要なブラウザはf-droid.orgへのすべての接続にHTTPSのみを使用します
  • 強力なTLS/HTTPS構成
  • 強力なHTTPコンテンツセキュリティポリシー
  • 初期インストールダウンロードリンクのPGP署名
  • f-Droid.apkが改ざんされていない自動定期およびランダム監査
  • F-Droid Limitedは、fdroid.org、f-droid.com、f-dro1d.orgなどの多くのフィッシングドメインを制御しています。
  • webサイトは静的に生成され、攻撃対象を大幅に削減します
  • ブラウザでJavaScriptが無効になっている場合、Webサイトは完全に機能し、XSS攻撃の可能性をすべて排除します

そして、アプリ内アプリケーションに関しては:

寄稿者が生成した悪意のあるデータからの保護

  • アプリの説明はあらゆる種類の人から送信され、アプリのソースリポジトリから取得することもできます。このデータは最終的にAndroidクライアントまたはユーザーのブラウザーにf-droid.org経由で配信されます。

  • Androidクライアントは、画像の読み込みを無効にしてAndroid.text.Html.fromHtml()を介してHTMLを表示するため、CSS、JavaScript、または危険なHTMLタグを実行しません。

  • f-droid.org Webサイトは、厳密なHTTPコンテンツセキュリティポリシーを使用して、悪意のあるCSS/HTML/Javascriptインジェクションから保護します。
  • Repomakerは、Mozillaのブリーチでテキストをフィルタリングし、適切なHTTPコンテンツセキュリティポリシーを備えています。

あなたの質問への回答:(Reddit Source)

他の人が言ったように、我々はそれを店に入れるすべての単一のアプリを監査しません。ただし、すべてがフリーソフトウェアであることを確認し、ある程度のテスト/調査を行います。

最近、Android向けの各アプリストアに含まれるマルウェアアプリの量に関する調査が行われました。現在は見つかりませんが、IIRCはPDFであり、この1年で発行されているはずです。基本的には、Google Playよりも小さい多くの代替ストアはマルウェアが存在しない状態に近かったが、絶対に存在しないのはF-Droidだけでした。

私が言おうとしているのは、私たちが防弾ではなく、私たちがそうであると言ったことがないということです。ユーザーへの唯一の約束は、私たちが配布するAPKは、一般に入手可能なソースからのものであり、フリーソフトウェアであるF-Droidサーバーツールによって構築および配布されていることです。これまでのところ、このポリシーはうまく機能しているようです:)

リンク:

https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/Reddit、OPの質問への回答

https://f-droid.org/en/docs/Security_Model/Source

https://f-droid.org/en/2018/09/04/second-security-audit-results.html推奨

1
M03