Resultaterne af et eksperiment for at få kontrol over pakker i AUR (Arch User Repository), et arkiv brugt af tredjepartsudviklere til at distribuere deres pakker uden at inkludere dem i Archs primære distributionsarkiv, er blevet offentliggjort. LinuxForskere udviklede et script, der tjekker for udløbne domæner i PKGBUILD- og SRCINFO-filer. Ved at køre dette script identificerede de 14 udløbne domæner, der blev brugt i 20 fildownloadpakker.
Simple domæneregistrering Dette er ikke tilstrækkeligt til pakkeforfalskning, da det downloadede indhold verificeres mod den checksum, der allerede er uploadet til AUR. Det viste sig dog, at vedligeholdere af cirka 35% af pakkerne i AUR bruger parameteren "SKIP" i PKGBUILD-filen til at omgå checksumverifikation (for eksempel ved at angive sha256sums=('SKIP')). Af de 20 pakker med udløbne domæner blev SKIP-parameteren brugt i 4.
For at demonstrere muligheden for at udføre et angreb købte forskerne domænet til en af de pakker, der ikke tjekker kontrolsummer, og placerede et arkiv med koden og et ændret installationsscript på. I stedet for det faktiske indhold blev der tilføjet en advarselsmeddelelse om udførelse af tredjepartskode til scriptet. Et forsøg på at installere pakken førte til download af erstattede filer og, da kontrolsummen ikke blev kontrolleret, til vellykket installation og lancering af koden tilføjet af forsøgslederne.
Pakker, hvis domæner med kode er udløbet:
- firefox-vakuum
- gvim-tjeksti
- vin-pixi2
- xcursor-tema-wii
- lyszone-fri
- scalafmt-indfødt
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gået
- erwiz
- totd
- kygekkampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- lur-spand
- iscfpc
- iscfpc-aarch64
- iscfpcx
Kilde: opennet.ru
