Δημοσιεύτηκαν τα αποτελέσματα ενός πειράματος για την κατάληψη του ελέγχου πακέτων στο αποθετήριο AUR (Arch User Repository), που χρησιμοποιείται για διανομή από τρίτους προγραμματιστές των πακέτων τους χωρίς συμπερίληψη στα κύρια αποθετήρια της διανομής Arch Linux. Οι ερευνητές ετοίμασαν ένα σενάριο που ελέγχει τη λήξη των καταχωρίσεων τομέα που εμφανίζονται στα αρχεία PKGBUILD και SRCINFO. Κατά την εκτέλεση αυτής της δέσμης ενεργειών, εντοπίστηκαν 14 τομείς που είχαν λήξει, που χρησιμοποιήθηκαν σε 20 πακέτα για τη λήψη αρχείων.
Η απλή εγγραφή ενός τομέα δεν αρκεί για να πλαστογραφήσει ένα πακέτο, καθώς το περιεχόμενο που έχει ληφθεί ελέγχεται με το άθροισμα ελέγχου που έχει ήδη φορτωθεί στο AUR. Ωστόσο, αποδεικνύεται ότι οι συντηρητές του 35% περίπου των πακέτων στο AUR χρησιμοποιούν την παράμετρο "SKIP" στο αρχείο PKGBUILD για να παρακάμψουν την επαλήθευση αθροίσματος ελέγχου (για παράδειγμα, καθορίστε sha256sums=('SKIP')). Από τα 20 πακέτα με ληγμένους τομείς, η παράμετρος SKIP χρησιμοποιήθηκε σε 4.
Για να αποδείξουν τη δυνατότητα πραγματοποίησης μιας επίθεσης, οι ερευνητές αγόρασαν τον τομέα ενός από τα πακέτα που δεν ελέγχει τα αθροίσματα ελέγχου και τοποθέτησαν ένα αρχείο με τον κώδικα και ένα τροποποιημένο σενάριο εγκατάστασης σε αυτό. Αντί για το πραγματικό περιεχόμενο, προστέθηκε στο σενάριο ένα προειδοποιητικό μήνυμα σχετικά με την εκτέλεση κώδικα τρίτων. Μια προσπάθεια εγκατάστασης του πακέτου οδήγησε στη λήψη αντικατασταθέντων αρχείων και, καθώς το άθροισμα ελέγχου δεν ελέγχθηκε, στην επιτυχή εγκατάσταση και εκκίνηση του κώδικα που προστέθηκε από τους πειραματιστές.
Πακέτα των οποίων οι τομείς με κωδικό έχουν λήξει:
- firefox-κενό
- gvim-checkpath
- κρασί-pixi2
- xcursor-theme-wii
- χωρίς φωτεινή ζώνη
- σκαλαφμτ-γηγενής
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gone
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- φυλαχτό-κάδος
- etherdump
- κάδος υπνάκου
- iscfpc
- iscfpc-aarch64
- iscfpcx
Πηγή: opennet.ru