On Wed, Sep 23, 2015 at 02:49:32PM +0200, torn wrote:
>On 2015-09-23 11:35, gin(e) wrote:
>> On 09/21/2015 01:14 AM, torn wrote:
>>
>>>> perchè se fai qualcosa per la sicurezza/privacy devi per forza lasciare
>>>> il sorgente aperto altrimenti nessuno ti si incula paro.
>>
>>> OK, ma se poi pretendi che si usi il tuo binario, senza che ci sia
>>> nessun sistema di build riproducibili, siamo punto e a capo, mi sembra...
>>
>> Dal punto di vista della sicurezza: no, così può dichiarare di occuparti
>> di sicurezza nella messaggistica e permettere gli altri di smentirti.
>
>Io dico che non è vero: per quanto ne possiamo sapere noi il binario
>distribuito potrebbe non corrispondere ai sorgenti disponibili su
>github. Non esiste nemmeno un sistema di build riproducibili.
È un concetto giusto, allora ho riunito i bg's, ovvero il Comitato
Speciale per il Reversing, che poi sarebbe ginox.
Abbiamo analizzato l'APK di textsecure 151
(sha1sum=d7d323e68ef1141317ee548b55baa486b0d6a3cf) e quello di fdroid
([1], sha1sum=fef05063aeb0497bcbb13a317c13cfb595f77874).
Per prima cosa abbiamo "decodificato" con apktool d file.apk
a quel punto siamo andati di diff -rq [2]
Molti file diversi sono quelli con le stringhe, perche' textsecure viene
rinominato in textlibre su f-droid.
Le firme in original/ sono diverse, e anche questo e' naturale perche'
sono state buildate da due persone diverse.
Rimane la cosa piu' importante, cioe' le differenze in smali/.
Guardiamole meglio: [3]
Il primo e' un cambio di timestamp, quindi non e' importante. Gli altri
due cambiamenti non siamo riusciti a capire cosa facciano, ma va notato
che i valori sono gli stessi del timestamp. Si puo' supporre che sia
sempre il timestamp riportato in altri punti del programma, ma non e'
proprio detto.
Le differenze nell'apk finiscono qui, e quindi pare tutto a posto.
Indagando nelle differenze trovate su smali/, vado a vedere i sorgenti e
trovo questa differenza nel file build.gradle: [4]
non so dire esattamente cosa faccia, non pare grave, ma boh. Sicuramente
date le poche differenze trovate nell'apk, e' irrilevante.
Va detto che è la prima volta che facciamo una cosa del genere, quindi
magari se controllate che non abbiamo detto scemenze è meglio.
Insomma mi pare che al momento non ci sia traccia di backdoor di alcun
genere dentro l'apk uppato da moxie. Certo, il concetto della difficile
riproducibilità delle build è ancora vero e quindi nulla toglie che in
futuro potrebbe decidere di farlo.
[1]
https://eutopia.cz/fdroid/repo/org.thoughtcrime.securesms_151.apk
[2]
http://pastebin.com/vQkMw26S
[3]
http://ix.io/kZn
[4]
http://ix.io/kZm
--
boyska