Kuketz-Blog 🛡

1 year ago

Kuketz-Blog 🛡
1 year ago

Android-Apps auf dem Seziertisch: Eine vertiefte Betrachtung

Technische Prüfungen bewerten Sicherheit und Konfiguration von Android-Apps, doch insbesondere die Prüfung von Signaturblöcken muss verbessert werden.

^{www.kuketz-blog.de}

in reply to Kuketz-Blog 🛡

Iak

in reply to Kuketz-Blog 🛡 1 year ago

@IzzyOnDroid sehr interessant, danke :) Nur in der Tabelle ganz unten finde ich hätte man @fdroidorg bei "APK-Quelle" ein grünes Feld statt grau gönnen können. Dass #fdroid die Apps selbst aus dem veröffentlichten Quelltext baut ist ja schon ein wichtiges und sehr starkes Feature.

#fdroid @F-Droid @IzzyOnDroid ✅

in reply to Iak

IzzyOnDroid ✅

in reply to Iak 1 year ago

@iak was aber nichts mit dem Thema "Sicherheits-Checks" zu tun hat, und daher IN DIESEM KONTEXT als "neutral" bewertet wurde 😉

@Iak

in reply to Iak

j.r / Julian

in reply to Iak 1 year ago

@iak @IzzyOnDroid @fdroidorg hm bei "Self Updater" müsste F-Droid aber auch mindestens "nur manuell" bekommen, weil das checken wird schon bei der Erstaufnahme mindestens und es sind Apps deshalb auch schon wieder rausgeflogen

@F-Droid @IzzyOnDroid ✅ @Iak

in reply to j.r / Julian

IzzyOnDroid ✅

in reply to j.r / Julian 1 year ago

@jr Wenn, dann "nur manuell bei der Aufnahme" – weil danach wird m.W. nicht mehr (aktiv) danach geprüft. Und anders als bei Debug-Zertifikaten (auf die Du Dich hier wohl mit "mindestens auch" beziehst), kann ein Self-Updater nachträglich mit einem Update eingeschleust werden – was leider auch bereits häufiger geschah. Fällt bei F-Droid.org nur auf, wenn es jemand meldet – bei mir fällt es auf, weil u.a. die entsprechende Berechtigung und auch updater-libs automatisch erkannt werden.

@j.r / Julian

in reply to IzzyOnDroid ✅

Julian

in reply to IzzyOnDroid ✅ 1 year ago

hm das stimmt, aber das F-Droid gar nicht checkt ist halt schon irgendwo falsch...

in reply to Julian

IzzyOnDroid ✅

in reply to Julian 1 year ago

@j_r ähem… sicher? Wie kommt es dann, dass diese Checks in meinem Repo implementiert sind ("mehr Manpower" habe ich sicher nicht)?

@Julian

in reply to Kuketz-Blog 🛡

Underfaker

in reply to Kuketz-Blog 🛡 1 year ago

Der Text ist aufgrund vieler sprachlicher Fehler etwas anstrengend zu lesen (dazu der Verweis auf Substantivkomposita (im Volksmund wird das Gegenstück auch Deppenleerzeichen genannt)). Dazu gibt es inhaltliche Fehler. Netzwerkverkehr lässt sich auch ohne Zertifikat verschlüsseln. MITM hat wenig mit verschlüsselt/nicht verschlüsselt zu tun, sondern damit, ob mein Gesprächspartner überprüfbar ist.

in reply to Underfaker

IzzyOnDroid ✅

in reply to Underfaker 1 year ago

@Underfaker "Netzwerkverkehr lässt sich auch ohne Zertifikat verschlüsseln": Ist in keinem der von mir derart identifizierten Fälle geschehen. Davon ab, diesen "inhaltlichen Fehler" muss ich leider "nach oben" weitergeben: wie an den Anführungszeichen erkennbar, ein Zitat 😉

"MITM hat wenig mit verschlüsselt/nicht verschlüsselt zu tun, sondern damit, ob mein Gesprächspartner überprüfbar ist." Genau das soll die Verschlüsselung (mit dem Zertifikat der Gegenseite) ja sicherstellen, gelle?

@Underfaker

in reply to Kuketz-Blog 🛡

freemind

in reply to Kuketz-Blog 🛡 1 year ago

@IzzyOnDroid toller Beitrag!!! Schade, dass Exodus sich (noch) nicht zur 'Mitarbeit' bewegen lassen.

@IzzyOnDroid ✅

in reply to freemind

IzzyOnDroid ✅

in reply to freemind 1 year ago

@freemind Danke! Und ja, da warte ich noch auf Antwort. Technisch sollte zumindest der Abruf kein Problem sein (da identisch zu F-Droid), aber man muss ja auch an die Integration denken. Habe die Hoffnung noch nicht aufgegeben. Aber klopft doch auch mal an, vielleicht rührt sich dann (schneller) etwas 😉

@freemind

Unknown parent

IzzyOnDroid ✅

Unknown parent 1 year ago

@freemind Im Fediverse? exodus@framapiaf.org ist ja hier vertreten 😉 Wenn ich wüsste, welches Repo da passen täte, ggf. auch per Issue bei Github github.com/Exodus-Privacy/

Exodus Privacy

Analyzing privacy concerns in Android applications. Because your privacy is not an adjustment variable. - Exodus Privacy

^GitHub

@freemind

Unknown parent

IzzyOnDroid ✅

Unknown parent 1 year ago

@eighthave @setiathome iod-scan-apk würde dem LibraryCheck entsprechen, wenn es denn benutzt würde. IssueBot läuft nicht bei Updates, nur bei RFPs. Bei MRs siet letztem Jahr auch nur manuell. Bei RFPs vermisse ich seit Monaten die Ausgabe des Moduls – was darauf hinweist, dass es wohl nicht mehr läuft oder die Ausgabe verloren geht (was in der Vergangenheit ja schon öfter der Fall war).

@Hans-Christoph Steiner

Unknown parent

Hans-Christoph Steiner

Unknown parent 1 year ago

@setiathome @IzzyOnDroid Leider nicht, aber wir haben das selber entdeckt. Ich verstehe nicht was "LibraryCheck" genau ist. F-Droid issuebot benutzt fdroid/suss für non-free libraries, Exodus ETIP für Tracking, und @IzzyOnDroid hat selber iod-scan-apk.php entwickelt als Teil von issuebot. Was ist übrug?

@IzzyOnDroid ✅

in reply to Kuketz-Blog 🛡

Hans-Christoph Steiner

in reply to Kuketz-Blog 🛡 1 year ago

Nice idea to check usesCleartextTraffic, but that particular check isn't worth much since, as the docs say:

> This flag is ignored on Android 7.0 (API level 24) and above if an Android Network Security Config is present.

Sounds like the IzzyOnDroid scanner would not catch `android:usesCleartextTraffic="false"` then in the Network Security Policy, sets `<base-config cleartextTrafficPermitted="true" />`. From what I've seen, most apps use Network Security Policy anyway.

in reply to Hans-Christoph Steiner

IzzyOnDroid ✅

in reply to Hans-Christoph Steiner 1 year ago

@eighthave It's true my scanner would currently not catch that special case (thanks for the pointer, will look if I can get that in, too – remember other than F-Droid, I'm only running a "simple binary repo" here) – but at least it was catching loads of the "simple cases" instead of none at all 😉 So good to see this is finally addressed at F-Droid as well. As for "what's missing", you might wish to check … (1/x)

@Hans-Christoph Steiner

in reply to IzzyOnDroid ✅

IzzyOnDroid ✅

in reply to IzzyOnDroid ✅ 1 year ago

@eighthave (2/3) gitlab.com/fdroid/admin/-/issu… from 12/2022 which, when brought to my attention in 1/2024 immediately triggered the changes from gitlab.com/IzzyOnDroid/repo/-/… discussed here – and the blog article you've asked for in 10/2022 at gitlab.com/fdroid/fdroidserver… – apologies it took me that long to write it though I knew it since 1/2024, but I wanted to check thoroughly before. F-Droid does have those signing block issues as well with reproducible builds (as the two issues point out), so I hope …

additional APK checks (#475) · Issues · IzzyOnDroid / repo · GitLab

A discussion on different topics raised ideas for security improvements, from which it is worth to adopt some additional checks:

^GitLab

@Hans-Christoph Steiner

in reply to IzzyOnDroid ✅

IzzyOnDroid ✅

in reply to IzzyOnDroid ✅ 1 year ago

@eighthave (3/3) you have that focused as well? Be welcome to use the details from issue 475 in my repo (gitlab.com/IzzyOnDroid/repo/-/…) for it.

additional APK checks (#475) · Issues · IzzyOnDroid / repo · GitLab

A discussion on different topics raised ideas for security improvements, from which it is worth to adopt some additional checks:

^GitLab

@Hans-Christoph Steiner

in reply to Hans-Christoph Steiner

IzzyOnDroid ✅

in reply to Hans-Christoph Steiner 1 year ago

@eighthave "From what I've seen, most apps use Network Security Policy anyway." from what I've noticed, too many do not while simply setting cleartextTraffic to true – which often meant they were not aware of the implications. After I told them (in issues I've opened) they either removed that entirely, or THEN started to use network config, to e.g. pin cleartext to localhost when it was only intended for that.

Opened gitlab.com/IzzyOnDroid/repo/-/… to keep an eye on it, though. Thanks for the pointer!

check for cleartextTraffic in network config as well? (#524) · Issues · IzzyOnDroid / repo · GitLab

As pointed out by @eighthave our manifest check for android:usesCleartextTraffic (from...

^GitLab

@Hans-Christoph Steiner

in reply to Hans-Christoph Steiner

IzzyOnDroid ✅

in reply to Hans-Christoph Steiner 1 year ago

@eighthave Just to make sure, Hans: You are aware that

1) Issuebot currently only runs on RFP (it's disabled for MRs since last summer "for reasons"), and that

2) iod-scan-apk.php was not run for at least half a year as (I guess) the location of the APK file is not passed to it via the environment variable with the APKs you pull for the (other) "Scan APK" module? I've pointed that out multiple times in the past already, but I'm not sure whether it "registered". @setiathome @kuketzblog

@Kuketz-Blog 🛡 @Hans-Christoph Steiner

⇧

Kuketz-Blog 🛡 1 year ago • •

Kuketz-Blog 🛡
1 year ago