Tulokset kokeesta kaapata pakettien hallinta AUR (Arch User Repository) -varastossa, jota kolmannen osapuolen kehittäjät käyttävät pakettiensa jakeluun ilman Arch Linux -jakelun päätietovarastoja. Tutkijat valmistivat skriptin, joka tarkistaa PKGBUILD- ja SRCINFO-tiedostoissa esiintyvien verkkotunnusten rekisteröintien vanhenemisen. Tätä komentosarjaa suoritettaessa tunnistettiin 14 vanhentunutta verkkotunnusta, joita käytettiin 20 paketissa tiedostojen lataamiseen.
Pelkkä verkkotunnuksen rekisteröiminen ei riitä paketin huijaamiseen, koska ladattu sisältö tarkistetaan AUR:iin jo ladatun tarkistussumman kanssa. Osoittautuu kuitenkin, että noin 35 % AUR:n paketeista ylläpitäjät käyttävät PKGBUILD-tiedoston SKIP-parametria ohittaakseen tarkistussumman tarkistuksen (määritä esimerkiksi sha256sums=('SKIP')). Niistä 20 paketista, joiden verkkotunnukset ovat vanhentuneet, SKIP-parametria käytettiin neljässä.
Osoittaakseen hyökkäyksen mahdollisuutta tutkijat ostivat yhden paketin verkkotunnuksen, joka ei tarkista tarkistussummia, ja asettivat arkiston, jossa oli koodi ja muokattu asennusskripti. Varsinaisen sisällön sijaan komentosarjaan lisättiin varoitusviesti kolmannen osapuolen koodin suorittamisesta. Paketin asennusyritys johti korvattujen tiedostojen lataamiseen ja koska tarkistussummaa ei tarkistettu, kokeilijoiden lisäämän koodin onnistuneeseen asennukseen ja käynnistämiseen.
Paketit, joiden verkkotunnukset koodilla olivat vanhentuneet:
- firefox-tyhjiö
- gvim-checkpath
- viini-pixi2
- xcursor-theme-wii
- valovyöhyketön
- scalafmt-syntyperäinen
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-poissa
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- päiväunien roskakori
- iscfpc
- iscfpc-aarch64
- iscfpcx
Lähde: opennet.ru