Qual è il processo di auditing / controllo come ottenere un'app per Android nel repository F-Droid? Per chiederlo in un altro modo, che cosa impedisce a uno sviluppatore malvagio di caricare un'app Android backdoor sui repository F-Droid?
Qual è il processo di auditing / controllo come ottenere un'app per Android nel repository F-Droid? Per chiederlo in un altro modo, che cosa impedisce a uno sviluppatore malvagio di caricare un'app Android backdoor sui repository F-Droid?
Sicuramente ci sono pericoli nel download di app da repository di terze parti. Vedi questo esempio recente, in cui è stata ospitata un'app su un repo di terze parti ha rubato denaro dagli account PayPal dell'utente una volta installato.
Per quanto riguarda F-Droid inparticolare, la loro documentazione per gli sviluppatori non approfondisce come / se controllano le richieste. Ciò potrebbe essere dovuto a:
L'unico modo per ottenere maggiori informazioni sulla loro procedura di controllo è probabilmente di contattarli e chiedere, ma nel complesso vorrei consigliare cautela quando scarichi app da un repository di terze parti. È molto possibile che queste app siano backdoor o contengano codice dannoso.
Il "Modulo di sicurezza" come indicato nel link sottostante indica chiaramente quanto segue:
Le loro precauzioni di sicurezza:
additional security precautions are taken to make it as hard as possible to exploit this vector.
- included on the HSTS preload list, so major browsers will only ever use HTTPS for all connections to f-droid.org
- a strong TLS/HTTPS configuration
- a strong HTTP Content Security Policy
- PGP-signature on the initial install download link
- automated regular and random auditing that F-Droid.apk has not been tampered with
- F-Droid Limited controls many potential phishing domains like fdroid.org, f-droid.com, and f-dro1d.org.
- website is statically generated to greatly reduce the attack surface
- website is fully functional when Javascript is disabled in the browser, eliminating all possibility of XSS attacks
E per quanto riguarda l'applicazione in-app:
Protecting against malicious contributor-generated data
The app descriptions are submitted by all sorts of people, and they can also be taken from the app’s source repository. This data is ultimately delivered to the Android client or the user’s browser via f-droid.org.
the Android client never runs CSS, Javascript, or dangerous HTML tags since it displays HTML via android.text.Html.fromHtml() with image loading disabled
- the f-droid.org website protects against malicious and CSS/HTML/Javascript injection with a strict HTTP Content Security Policy.
- Repomaker filters the texts through Mozilla’s bleach and has a good HTTP Content Security Policy.
As others have said, we don't audit every single app that makes it into the store. But we do make sure that everything is free software, and do test/investigate to a certain degree.
There was recently a study made of the amount of malware apps in each app store for Android. I can't find it now, but IIRC it was a pdf and should have been published in the past year. Basically, what it said is that many alternative stores smaller than Google Play were close to having no malware, but only one had absolutely none: F-Droid.
I guess what I'm trying to say is that we're not bulletproof, and we never said we were. Our only promise to the users is that the apks we distribute come from the source that is publicly available, and have been built and distributed by the F-Droid server tools which are also free software. So far, this policy seems to have worked well :)
Link:
link Reddit, risposta alla domanda dell'OP
link Sorgente
link Consigliato