Avaldatud on AUR (Arch User Repository) hoidlas olevate pakettide kontrolli haaramise katse tulemused, mida kolmanda osapoole arendajad kasutavad oma pakettide levitamiseks ilma Arch Linuxi distributsiooni põhihoidlatesse kaasamata. Teadlased koostasid skripti, mis kontrollib PKGBUILD- ja SRCINFO-failides olevate domeenide registreerimise aegumist. Selle skripti käitamine paljastas 14 aegunud domeeni, mida kasutati 20 faili üleslaadimise paketis.
Paki võltsimiseks ei piisa pelgalt domeeni registreerimisest, sest allalaaditud sisu kontrollitakse AUR-i juba üles laaditud kontrollsummaga. Siiski näib, et umbes 35% AUR-i pakettidest kasutavad kontrollsumma kontrolli vahelejätmiseks PKGBUILD-failis parameetrit "SKIP" (näiteks määrake sha256sums=('SKIP')). 20 aegunud domeeniga paketist kasutati SKIP parameetrit neljas.
Rünnaku võimaluse demonstreerimiseks ostsid teadlased ühe paketi domeeni, mis ei kontrolli kontrollsummasid, ning paigutasid sellele koodi ja muudetud installiskriptiga arhiivi. Tegeliku sisu asemel on skriptile lisatud hoiatus kolmanda osapoole koodi täitmise kohta. Paketi installimise katse viis võltsitud failide allalaadimiseni ja kuna kontrollsummat ei kontrollitud, siis katsetajate lisatud koodi edukas installimine ja käivitamine.
Aegunud domeenidega paketid:
- firefox-vaakum
- gvim-checkpath
- veini-pixi2
- xcursor-theme-wii
- valgustsoonivaba
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-läinud
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-kast
- eeterdump
- uinak-kast
- iscfpc
- iscfpc-aarch64
- iscfpcx
Allikas: opennet.ru