steelman, 5 months ago

Problem z ustaleniem autentyczności pobranej „bokiem” po raz pierwszy* apki wynika z tego, że certyfikat do klucza, którym wydawca apki ją podpisuje ją, jest samopodpisany. Taki certyfikat na dane (Subject, Issuer) bez łączności z globalnym PKI (jak w przeglądarkach) może wystawić sobie każdy (MITM jak malowany).

• system opiera się o TOFU (jak SSH) aktualizacja muszą być podpisane tym samym kluczem co stara wersja.

@m0bi13 @bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia

steelman, 5 months ago

Zainteresowanym polecam lekturę: https://android.stackexchange.com/questions/9312/how-can-i-verify-the-authenticity-of-an-apk-file-i-downloaded#answer-9328

PS. Duży bank używa RSA 1024 do podpisywania apek.

@m0bi13 @bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia

m0bi13, 5 months ago

@steelman

Tutaj mnie interesuje podejście F-Droid, który wszystkie dostępne w nim apki buduje samodzielnie ze źródeł. Wiesz może, jak jest wtedy z podpisami? Zakładam, że nie są używane podpisy zespołów autorskich apek, tylko podpis F-Droid?

#Android #FDroid
@bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia

m0bi13, 5 months ago

@steelman

Zapomniałbym dodać a chciałbym żeby było w dyskusji:

istnieje projekt Aurora Store, który jest projektem open-source "zastępującym" sklep Google Play, może posługiwać się anonimowymi kontami do "wyłuskania" plików apk z katalogu apek Google Play.

Więc te są podpisane przez zespoły autorskie.

https://f-droid.org/packages/com.aurora.store/

#Android #AuroraStore

@bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia

robryk, 5 months ago

@steelman @m0bi13 @bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia

Poza aktualizacjami istnieje jeszcze jedno zastosowanie tej pary kluczy: aplikacja może traktować inne aplikacje podpisane tym samym (lub explicity podanym) kluczem specjalnie (p. signature i knownSigner w https://developer.android.com/guide/topics/manifest/permission-element.html#plevel).