我们已经开始对 F-Droid 设置进行第二次安全审计。审计将由 Radically Open Security 进行，该公司是 F-Droid 天然的合作伙伴，因为他们和我们一样专注于自由软件和开放过程。一旦我们收到结果并解决了发现的任何问题，我们将在这里发布完整的、未经编辑的审计报告。感谢开放技术基金会支付聘请审计人员的成本。

有关 F-Droid 的安全实践的更多信息，请参阅有关安全模型的文档。

回顾第一次安全审计

2015 年，我们收到了由开放技术基金会提供的来自 Cure53 的外部审计。这是对 F-Droid 核心安全实践的第一次全面安全审计。除此之外，审计的重点是新的实验性功能，即脱离中央服务器模式使 F-Droid 开放成为一个生态系统。

如在此页的顶部所列出的那样，这次审计确认了核心部件的安全性。这有点难以理解，因为报告只讨论了被发现的漏洞。这次审计确实在网站，可选的测试版功能以及 fdroid import 等只有少数人使用且从未在核心基础设施上使用过的一些次要的功能中发现了严重问题。需要注意的是，网站问题并不意味着通过 Android 客户端应用获取应用会受到影响。最重要的是，所有的安全问题都已修复。审计还表明，构建一个使用用户产生的内容的系统很难做到完全安全。我们的重点是消除任何可能对外部数据源（如应用源代码存储库）提供攻击向量的因素。

F-Droid 的正常使用方式不受影响。例如，对于 BZ-01-004 命令注入漏洞 ，基于 root 的安装方法被标记为实验，没有广泛使用，并在报告出来后不久就被移除。默认的应用存储库中不会出现 BZ-01-002 和 BZ-01-003 TOFU 问题，因为存储库密钥内置在客户端应用中。

影响生态系统的严重问题包括：

• BZ-01-005 具有 WES 权限的应用可以在安装前替换 APK（已修复）
• BZ-01-008 WP-FDroid 插件的多个 XSS 问题（ 我们完全删除了Wordpress，网站现在使用Jekyll 静态生成）
• BZ-01-011 在 MediaWiki 中通过 SVG 上传持久化 XSS（ 错误已在 MediaWiki 中修复，已禁用 SVG 上传，并已禁用 f-droid.org 上的开放 wiki 注册）
• BZ-01-014 在 Git 存储库上通过 fdroid checkupdates 命令的 RCE（ 已修复）

这些只影响了少数非关键用户或选择 beta 功能部分用户：

• BZ-01-002 TOFU 请求太容易识别和拦截（已修复）
• BZ-01-003 存储库指纹在第一次获取的时候不会被验证（ 已修复）
• BZ-01-004 基于 root 的安装方法中的命令注入漏洞（只有存储库发布者可以做到这一点，删除了基于 root 的安装方法 )
• BZ-01-012 通过 fdroid import 和 SVN 执行任意命令

以下问题都假设开发者或发布者级别的访问。我们并不声称可以防止具有这种级别的访问权限的攻击者。这些角色的人总是可以直接发布恶意代码，而不需要使用复杂的漏洞。

• BZ-01-007 恶意符号链接 APK 可导致任意文件读取
• BZ-01-013 fdroid import造成的目录遍历利用潜在风险
• BZ-01-015 SVN 存储库访问将凭据泄漏到本地进程
• BZ-01-017 未经授权访问内部网络资源

Cure53 的审计报告 PDF 也缓存在这个站点上：pentest-report_fdroid.pdf。