All I'm asking is for #ResponsibleDisclosure. The tone you sense was my panic as I scrambled to figure out the proof-of-concept to ensure that #FDroid users are kept safe. Signature verification is a key part of that. I cleared my schedule this morning to deal with this.

Thanks to @obfusk to doing the hard work of the proof-of-concept and the patch. I posted my preliminary analysis of the issue on gitlab.com/fdroid/fdroidserver…

1/2

Potential security hazard: `apk_signer_fingerprint()` looks at certs in reverse order that Android checks them (#1128) · Issues · F-Droid / fdroidserver · GitLab

Take a look at apk_signer_fingerprint(): def get_first_signer_certificate(apkpath):...

^GitLab

Das ist so absurd. Man weiß wirklich nicht, ob man lachen oder weinen soll. phpMyAdmin ist offenbar ein »gefährliches Hackertool« im Sinne des Hackerparagrafen 202a StGB. Wenn der Gesetzgeber das JETZT nicht ändert, dann war es das mit der Responsible Disclosure. Wenn man jetzt noch dafür belangt wird, überlegt man sich zweimal, ob man die Daten nicht gleich gewinnbringend verkauft... 🤦‍♂️

golem.de/news/modern-solution-…

#hacker #hacking #responsibledisclosure #gesetz #hackerparagraf #hackerparaph