Come verificare se la tua app per Android è stata aggiornata da MitM?

6

Mentre stavo navigando sul mio telefono ieri, un popup grigio è apparso sul mio schermo proprio mentre stavo scorrendo verso l'alto, e ho accidentalmente premuto il pulsante di accettazione. Nella frazione di secondo in cui ero in grado di leggere qualcosa come Are you sure you want to allow <large block of code filling my screen> .

Immediatamente, le app Redphone e Signal (entrambe le app sono per comunicazioni sicure) hanno iniziato l'aggiornamento.

Per precauzione, ho riavviato, disinstallato, quindi reinstallato dal Play Store. Dopo un po ', sono automaticamente "aggiornati" di nuovo. Questa potrebbe essere una coincidenza, ma puzza di pesce per me.

C'è un modo per verificare l'hash di un'app su Android? Potrei aver approvato il certificato di un avversario o qualcosa del genere? Corro Cyanogenmod, se questo è importante.

Sono un attivista e frequento regolarmente le proteste, ma non faccio mai nulla di eccitante, quindi per quanto riguarda i modelli di minacce non ho motivo di credere che qualcuno possa dare uno spunto alle mie conversazioni. Quindi probabilmente non è niente, ma mi piacerebbe avere la tranquillità.

Mi dispiace se questo è già stato risolto. Ho cercato senza successo, ma può darsi che io non conosca le parole chiave corrette da usare.

    
posta crypdick 03.11.2015 - 22:07
fonte

3 risposte

3

Poiché le tue app sono state scaricate da Play Store, puoi controllare la loro ultima data di aggiornamento semplicemente visitando la loro pagina dello store:

  • Dall'app Play Store: tocca "Leggi altro" nella descrizione dell'app, scorri fino in fondo e cerca "Aggiornato su"
  • Dal browser: cerca "Informazioni aggiuntive" in basso, c'è la data "Aggiornato".

Per il tuo caso, entrambi RedPhone e Il segnale è stato sviluppato dallo stesso sviluppatore e aggiornato il 2 novembre (al momento della stesura attuale). Penso che sia davvero una coincidenza, dal momento che osservo che i tempi di aggiornamento del Play Store sono arbitrariamente casuali.

Se non sei ancora sicuro, puoi controllare l'hash del file APK inviando il file su Total virus . È necessario l'accesso root per individuare l'APK (il percorso apparirà come /data/app/<package name>/base.apk . Il nome del pacchetto può essere trovato sul collegamento Play Store). Inoltre, devi chiedere l'hash corretto dallo sviluppatore per conferma.

Nota aggiuntiva: anche se si trattasse di MitM, l'app Android può essere aggiornata solo se utilizza lo stesso certificato per firmare l'app . In caso contrario, si verificherà un aggiornamento non riuscito (con messaggio di errore " Applicazione non installata.") È già installato un pacchetto esistente con lo stesso nome con una firma in conflitto. "o INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES su ADB). Ciò non accadrà, a meno che l'attaccante non sia lo sviluppatore (possibile, ma improbabile per uno sviluppatore rispettabile), o che l'autore dell'attacco abbia il certificato (improbabile e un problema critico per lo sviluppatore).

    
risposta data 09.11.2015 - 03:31
fonte
2

Android richiede che gli aggiornamenti delle app siano firmati con la stessa chiave dell'app originale. Quindi, a meno che gli sviluppatori stessi non siano stati compromessi, un MITM non sarà in grado di aggiornare le app esistenti. Si noti che questo processo è completamente estraneo ai certificati SSL. I certificati di firma delle app sono autofirmati e non si basano sulle autorità di certificazione per la fiducia.

Sembra che tu abbia appena ricevuto una normale app legittima dal Play Store.

    
risposta data 17.05.2016 - 00:22
fonte
1

L'unico modo per essere sicuri, è ottenere una copia forense del telefono quando è in uno stato "pulito" e quindi confrontarlo con ciò che potresti classificare come stato sospetto. Se ritieni che sia stato impegnato, ti consiglio di consultare un esperto di medicina legale.

    
risposta data 04.11.2015 - 21:38
fonte

Leggi altre domande sui tag