Bevorstehendes Sicherheitsaudit

Wir haben mit der Durchführung des zweiten Sicherheitsaudits des F-Droid-Aufbaus begonnen. Das Audit wird von Radically Open Security geleitet werden, die naturgemäß Partner von F-Droid sind, da sie unseren Schwerpunkt auf freie Software und offene Abläufe teilen. Sobald wir die Ergebnisse erhalten und uns mit irgendwelchen gefundenen Problemen befasst haben, werden wir den vollständigen, ungeänderten Auditbericht hier veröffentlichen. Dank gebührt Open Tech Fund für die Übernahme der Kosten für den Auditorlohn.

Weitere Informationen über F-Droid’s Schutzvorkehrungen, finden Sie in der Dokumentation unter Sicherheitsmodell.

Rückblick auf das erste Sicherheitsaudit

Wir erhielten ein externes Audit im Jahr 2015 von Cure53, unterstützt durch den Open Tech Fund. Dies war das erste komplette Sicherheitsaudit der Kernschutzvorkehrungen von F-Droid. Über den Kern hinaus, galt bei dem Audit das Hauptaugenmerk den neuen, experimentellen Bestandteilen, die F-Droid als Ökosystem, das sich vom Modell eines zentralen Servers wegbewegt, erschlossen.

Das Audit bestätigte die Sicherheit der Kernstücke, wie oben auf dieser Seite aufgezählt. Das ist ein wenig schwer zu erkennen, da nur die entdeckten Sicherheitsrisiken erörtert werden. Dieses Audit fand kritische Probleme auf der Internetseite, Opt-in-Eigenschaften zu Betas und einige weniger wichtige Funktionen, wie fdroid import, die nur von wenigen Leuten genutzt werden und niemals in der Kerninfrastruktur. Es ist wichtig festzustellen, dass die Probleme auf der Internetseite nicht bedeuteten, dass der Bezug von Apps über die Android-App davon betroffen war. Am allerwichtigsten, sämtliche Sicherheitsprobleme wurden behoben. Das Audit demonstrierte auch, dass der Aufbau eines Systems mit von Anwendern erzeugten Beiträgen kaum vollständig abzusichern ist. Unser Augenmerk gilt der Entfernung von allem, was Angriffsvektoren auf die externen Datenquellen, wie die App-Quellrepos, eröffnet.

Die normale Nutzungsart von F-Droid war nicht beeinträchtigt. Betrachtet man beispielsweise BZ-01-004 Command Injection Flaw, die root-basierte Installationsmethode war als experimentell gekennzeichnet, nicht weit verbreitet und wurde nach nicht allzu langer Zeit nach Erscheinen des Berichts entfernt..Die BZ-01-002 und BZ-01-003 TOFU-Probleme betrafen nie die Standard-App-Repos, da die Reposchlüssel im Client eingebaut sind.

Wo ernsthafte Probleme das Ökosystem beeinträchtigten:

  • BZ-01-005 App mit WES-Berechtigung kann vor Installation APKs ersetzen (behoben)
  • BZ-01-008 Mehrere XSS-Probleme im WP-FDroid-Plugin (wir haben Wordpress komplett entfernt, die Site wird nun statisch unter Verwendung von Jekyll erzeugt)
  • BZ-01-011 Persistentes XSS durch SVG-Upload in MediaWiki (Fehler in MediaWiki behoben, Hochladen von SVG blockiert und Open-Wiki-Anmeldungen auf f-droid.org unterbunden)
  • BZ-01-014 RCE über Befehl “fdroid checkupdates” im Git-Repository (behoben)

Diese betrafen nur einige unkritische Anwender oder waren Teil von Opt-in-Merkmalen von Betas:

  • BZ-01-002 TOFU-Anfragen zu leicht zu erkennen und abzufangen (behoben)
  • BZ-01-003 Repository-Fingerabdruck wird bei erstem FETCH nicht verfiziert (behoben)
  • BZ-01-004 Command Injection Flaw in root-basierter Installationsmethode (nur Repo-Herausgeber waren dazu in der Lage, root-basierte Installationsmethode entfernt)
  • BZ-01-012 Eigenmächtige Befehlsausführung über fdroid import und SVN

Die folgenden Probleme setzen alle einen Zugriff auf Entwickler- oder Herausgeberniveau voraus. Wir maßen uns nicht an, Schutz gegen Angreifer mit derartigen Zugriffsrechten zu bieten. Menschen in dieser Rolle können immer schädlichen Code direkt verbreiten, ohne auf komplizierte Exploits zurückzugreifen.

  • BZ-01-007 Böswillig symbolisch verknüpfte APK kann zu eigenmächtigen Auslesen von Dateien führen
  • BZ-01-013 Directory Traversal Exploit Potential verursacht durch fdroid import
  • BZ-01-015 SVN-Repository-Zugang spielt Anmeldedaten lokalen Prozessen zu
  • BZ-01-017 Unautorisierter Zugriff auf interne Netzwerkressourcen

Der Auditbericht von Cure53 ist als PDF auch auf dieser Seite gespeichert: pentest-report_fdroid.pdf.