Se han publicado los resultados de un experimento para tomar el control de los paquetes en el repositorio AUR (Arch User Repository), que es utilizado por desarrolladores externos para distribuir sus paquetes sin estar incluidos en los repositorios principales de la distribución Arch Linux. Los investigadores prepararon un script que comprueba la caducidad del registro de los dominios que aparecen en los archivos PKGBUILD y SRCINFO. La ejecución de este script reveló 14 dominios caducados utilizados en 20 paquetes de carga de archivos.
Simplemente registrar un dominio no es suficiente para falsificar el paquete, ya que el contenido descargado se compara con la suma de verificación ya cargada en AUR. Sin embargo, alrededor del 35 % de los paquetes en AUR parecen usar el parámetro "SKIP" en el archivo PKGBUILD para omitir la verificación de la suma de comprobación (por ejemplo, especifique sha256sums=('SKIP')). De los 20 paquetes con dominios vencidos, en 4 se utilizó el parámetro SKIP.
Para demostrar la posibilidad de cometer un ataque, los investigadores compraron el dominio de uno de los paquetes que no verifican las sumas de verificación y colocaron un archivo con el código y un script de instalación modificado. En lugar del contenido real, se ha agregado al script una advertencia sobre la ejecución de código de terceros. Un intento de instalar el paquete condujo a la descarga de archivos falsificados y, dado que no se verificó la suma de verificación, a la instalación y ejecución exitosas del código agregado por los experimentadores.
Paquetes con dominios vencidos:
- firefox-vacío
- gvim-checkpath
- vino-pixi2
- xcursor-tema-wii
- libre de zonas de luz
- scalafmt-nativo
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-ido
- erwiz
- tod
- kygekteampmmp4
- muro de servicio-git
- amuletoml-bin
- descarga de éter
- cubo de la siesta
- iscfpc
- iscfpc-aarch64
- iscfpcx
Fuente: opennet.ru