Skip to main content

Android-Apps auf dem Seziertisch: Eine vertiefte Betrachtung

https://www.kuketz-blog.de/android-apps-auf-dem-seziertisch-eine-vertiefte-betrachtung/


Android-Apps auf dem Seziertisch: Eine vertiefte Betrachtung

Technische Prüfungen bewerten Sicherheit und Konfiguration von Android-Apps, doch insbesondere die Prüfung von Signaturblöcken muss verbessert werden.
www.kuketz-blog.de
in reply to Mike Kuketz 🛡

Iak
Iak
@IzzyOnDroid sehr interessant, danke :) Nur in der Tabelle ganz unten finde ich hätte man @fdroidorg bei "APK-Quelle" ein grünes Feld statt grau gönnen können. Dass #fdroid die Apps selbst aus dem veröffentlichten Quelltext baut ist ja schon ein wichtiges und sehr starkes Feature.
#fdroid @F-Droid @IzzyOnDroid ✅
in reply to Iak

IzzyOnDroid ✅
IzzyOnDroid ✅
@iak was aber nichts mit dem Thema "Sicherheits-Checks" zu tun hat, und daher IN DIESEM KONTEXT als "neutral" bewertet wurde 😉
@Iak
in reply to Iak

j.r / Julian
j.r / Julian
@iak @IzzyOnDroid @fdroidorg hm bei "Self Updater" müsste F-Droid aber auch mindestens "nur manuell" bekommen, weil das checken wird schon bei der Erstaufnahme mindestens und es sind Apps deshalb auch schon wieder rausgeflogen
@F-Droid @IzzyOnDroid ✅ @Iak
in reply to j.r / Julian

IzzyOnDroid ✅
IzzyOnDroid ✅
@jr Wenn, dann "nur manuell bei der Aufnahme" – weil danach wird m.W. nicht mehr (aktiv) danach geprüft. Und anders als bei Debug-Zertifikaten (auf die Du Dich hier wohl mit "mindestens auch" beziehst), kann ein Self-Updater nachträglich mit einem Update eingeschleust werden – was leider auch bereits häufiger geschah. Fällt bei F-Droid.org nur auf, wenn es jemand meldet – bei mir fällt es auf, weil u.a. die entsprechende Berechtigung und auch updater-libs automatisch erkannt werden.
@j.r / Julian
in reply to IzzyOnDroid ✅

Julian
Julian
hm das stimmt, aber das F-Droid gar nicht checkt ist halt schon irgendwo falsch...
in reply to Julian

IzzyOnDroid ✅
IzzyOnDroid ✅
@j_r ähem… sicher? Wie kommt es dann, dass diese Checks in meinem Repo implementiert sind ("mehr Manpower" habe ich sicher nicht)?
@Julian
in reply to Mike Kuketz 🛡

Underfaker
Underfaker
Der Text ist aufgrund vieler sprachlicher Fehler etwas anstrengend zu lesen (dazu der Verweis auf Substantivkomposita (im Volksmund wird das Gegenstück auch Deppenleerzeichen genannt)). Dazu gibt es inhaltliche Fehler. Netzwerkverkehr lässt sich auch ohne Zertifikat verschlüsseln. MITM hat wenig mit verschlüsselt/nicht verschlüsselt zu tun, sondern damit, ob mein Gesprächspartner überprüfbar ist.
in reply to Underfaker

IzzyOnDroid ✅
IzzyOnDroid ✅

@Underfaker "Netzwerkverkehr lässt sich auch ohne Zertifikat verschlüsseln": Ist in keinem der von mir derart identifizierten Fälle geschehen. Davon ab, diesen "inhaltlichen Fehler" muss ich leider "nach oben" weitergeben: wie an den Anführungszeichen erkennbar, ein Zitat 😉

"MITM hat wenig mit verschlüsselt/nicht verschlüsselt zu tun, sondern damit, ob mein Gesprächspartner überprüfbar ist." Genau das soll die Verschlüsselung (mit dem Zertifikat der Gegenseite) ja sicherstellen, gelle?

@Underfaker
in reply to Mike Kuketz 🛡

freemind
freemind
@IzzyOnDroid toller Beitrag!!! Schade, dass Exodus sich (noch) nicht zur 'Mitarbeit' bewegen lassen.
@IzzyOnDroid ✅
in reply to freemind

IzzyOnDroid ✅
IzzyOnDroid ✅
@freemind Danke! Und ja, da warte ich noch auf Antwort. Technisch sollte zumindest der Abruf kein Problem sein (da identisch zu F-Droid), aber man muss ja auch an die Integration denken. Habe die Hoffnung noch nicht aufgegeben. Aber klopft doch auch mal an, vielleicht rührt sich dann (schneller) etwas 😉
@freemind
in reply to freemind

IzzyOnDroid ✅
IzzyOnDroid ✅
@freemind Im Fediverse? exodus@framapiaf.org ist ja hier vertreten 😉 Wenn ich wüsste, welches Repo da passen täte, ggf. auch per Issue bei Github https://github.com/Exodus-Privacy/

Exodus Privacy

Analyzing privacy concerns in Android applications. Because your privacy is not an adjustment variable. - Exodus Privacy
GitHub
@freemind
in reply to Mike Kuketz 🛡

setiathome
setiathome
@IzzyOnDroid
Wurde das Thema auch mal an F-Droid kommuniziert und wie war die Reaktion?
@IzzyOnDroid ✅
in reply to setiathome

Hans-Christoph Steiner
Hans-Christoph Steiner
@setiathome @IzzyOnDroid Leider nicht, aber wir haben das selber entdeckt. Ich verstehe nicht was "LibraryCheck" genau ist. F-Droid issuebot benutzt fdroid/suss für non-free libraries, Exodus ETIP für Tracking, und @IzzyOnDroid hat selber iod-scan-apk.php entwickelt als Teil von issuebot. Was ist übrug?
@IzzyOnDroid ✅ @setiathome
in reply to Hans-Christoph Steiner

IzzyOnDroid ✅
IzzyOnDroid ✅
@eighthave @setiathome iod-scan-apk würde dem LibraryCheck entsprechen, wenn es denn benutzt würde. IssueBot läuft nicht bei Updates, nur bei RFPs. Bei MRs siet letztem Jahr auch nur manuell. Bei RFPs vermisse ich seit Monaten die Ausgabe des Moduls – was darauf hinweist, dass es wohl nicht mehr läuft oder die Ausgabe verloren geht (was in der Vergangenheit ja schon öfter der Fall war).
@Hans-Christoph Steiner @setiathome
in reply to Hans-Christoph Steiner

IzzyOnDroid ✅
IzzyOnDroid ✅

@eighthave Just to make sure, Hans: You are aware that

1) Issuebot currently only runs on RFP (it's disabled for MRs since last summer "for reasons"), and that

2) iod-scan-apk.php was not run for at least half a year as (I guess) the location of the APK file is not passed to it via the environment variable with the APKs you pull for the (other) "Scan APK" module? I've pointed that out multiple times in the past already, but I'm not sure whether it "registered". @setiathome @kuketzblog

@Mike Kuketz 🛡 @Hans-Christoph Steiner @setiathome
in reply to Mike Kuketz 🛡

Hans-Christoph Steiner
Hans-Christoph Steiner

Nice idea to check usesCleartextTraffic, but that particular check isn't worth much since, as the docs say:

> This flag is ignored on Android 7.0 (API level 24) and above if an Android Network Security Config is present.

Sounds like the IzzyOnDroid scanner would not catch `android:usesCleartextTraffic="false"` then in the Network Security Policy, sets `<base-config cleartextTrafficPermitted="true" />`. From what I've seen, most apps use Network Security Policy anyway.

1/

in reply to Hans-Christoph Steiner

IzzyOnDroid ✅
IzzyOnDroid ✅
@eighthave It's true my scanner would currently not catch that special case (thanks for the pointer, will look if I can get that in, too – remember other than F-Droid, I'm only running a "simple binary repo" here) – but at least it was catching loads of the "simple cases" instead of none at all 😉 So good to see this is finally addressed at F-Droid as well. As for "what's missing", you might wish to check … (1/x)
@Hans-Christoph Steiner
in reply to IzzyOnDroid ✅

IzzyOnDroid ✅
IzzyOnDroid ✅
@eighthave (2/3) https://gitlab.com/fdroid/admin/-/issues/367 from 12/2022 which, when brought to my attention in 1/2024 immediately triggered the changes from https://gitlab.com/IzzyOnDroid/repo/-/issues/475 discussed here – and the blog article you've asked for in 10/2022 at https://gitlab.com/fdroid/fdroidserver/-/issues/1056#note_1143767439 – apologies it took me that long to write it though I knew it since 1/2024, but I wanted to check thoroughly before. F-Droid does have those signing block issues as well with reproducible builds (as the two issues point out), so I hope …

additional APK checks (#475) · Issues · IzzyOnDroid / repo · GitLab

A discussion on different topics raised ideas for security improvements, from which it is worth to adopt some additional checks:
GitLab
@Hans-Christoph Steiner
in reply to IzzyOnDroid ✅

IzzyOnDroid ✅
IzzyOnDroid ✅
@eighthave (3/3) you have that focused as well? Be welcome to use the details from issue 475 in my repo (https://gitlab.com/IzzyOnDroid/repo/-/issues/475) for it.

additional APK checks (#475) · Issues · IzzyOnDroid / repo · GitLab

A discussion on different topics raised ideas for security improvements, from which it is worth to adopt some additional checks:
GitLab
@Hans-Christoph Steiner
in reply to Hans-Christoph Steiner

IzzyOnDroid ✅
IzzyOnDroid ✅

@eighthave "From what I've seen, most apps use Network Security Policy anyway." from what I've noticed, too many do not while simply setting cleartextTraffic to true – which often meant they were not aware of the implications. After I told them (in issues I've opened) they either removed that entirely, or THEN started to use network config, to e.g. pin cleartext to localhost when it was only intended for that.

Opened https://gitlab.com/IzzyOnDroid/repo/-/issues/524 to keep an eye on it, though. Thanks for the pointer!


check for cleartextTraffic in network config as well? (#524) · Issues · IzzyOnDroid / repo · GitLab

As pointed out by @eighthave our manifest check for android:usesCleartextTraffic (from...
GitLab
@Hans-Christoph Steiner