Üçüncü tərəf tərtibatçıları tərəfindən paketlərinin Arch Linux paylanmasının əsas repozitoriyalarına daxil edilmədən yayılması üçün istifadə olunan AUR (Arch User Repository) repozitoriyasında paketlərə nəzarətin ələ keçirilməsi üzrə eksperimentin nəticələri dərc olunub. Tədqiqatçılar PKGBUILD və SRCINFO fayllarında görünən domen qeydiyyatlarının bitməsini yoxlayan skript hazırlayıblar. Bu skripti işlədərkən, faylları yükləmək üçün 14 paketdə istifadə olunan 20 vaxtı keçmiş domen müəyyən edildi.
Paketi saxtalaşdırmaq üçün sadəcə domeni qeydiyyatdan keçirmək kifayət deyil, çünki yüklənmiş məzmun artıq AUR-a yüklənmiş yoxlama məbləği ilə yoxlanılır. Bununla belə, məlum olur ki, AUR-dakı paketlərin təxminən 35%-ni saxlayanlar yoxlama məbləğinin yoxlanılmasını keçmək üçün PKGBUILD faylında "SKIP" parametrindən istifadə edirlər (məsələn, sha256sums=('SKIP') təyin edin). Müddəti bitmiş domenləri olan 20 paketdən 4-də SKIP parametrindən istifadə edilib.
Hücumun həyata keçirilməsinin mümkünlüyünü nümayiş etdirmək üçün tədqiqatçılar yoxlama məbləğlərini yoxlamayan paketlərdən birinin domenini alıblar və üzərinə kod və dəyişdirilmiş quraşdırma skripti ilə arxiv yerləşdiriblər. Skriptə faktiki məzmun əvəzinə üçüncü tərəf kodunun icrası ilə bağlı xəbərdarlıq mesajı əlavə edildi. Paketi quraşdırmaq cəhdi əvəz edilmiş faylların yüklənməsinə və yoxlama məbləği yoxlanılmadığından, sınaqçılar tərəfindən əlavə edilmiş kodun uğurla quraşdırılmasına və işə salınmasına səbəb oldu.
Kodlu domenlərinin müddəti bitmiş paketlər:
- firefox-vakuum
- gvim-yoxlama yolu
- şərab-pixi2
- xcursor-theme-wii
- işıq zonası yoxdur
- scalafmt-doğma
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-getdi
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- zibil qutusu
- iscfpc
- iscfpc-aarch64
- iscfpcx
Mənbə: opennet.ru