Publicáronse os resultados dun experimento sobre a toma de control dos paquetes no repositorio AUR (Arch User Repository), utilizado para a distribución por desenvolvedores de terceiros dos seus paquetes sen incluír nos principais repositorios da distribución Arch Linux. Os investigadores prepararon un script que verifica a caducidade dos rexistros de dominio que aparecen nos ficheiros PKGBUILD e SRCINFO. Ao executar este script, identificáronse 14 dominios caducados, utilizados en 20 paquetes para descargar ficheiros.
Simplemente rexistrar un dominio non é suficiente para falsificar un paquete, xa que o contido descargado compárase coa suma de verificación xa cargada no AUR. Non obstante, resulta que os mantedores de preto do 35% dos paquetes do AUR usan o parámetro "SKIP" no ficheiro PKGBUILD para omitir a verificación da suma de verificación (por exemplo, especifique sha256sums=('SKIP')). Dos 20 paquetes con dominios caducados, o parámetro SKIP utilizouse en 4.
Para demostrar a posibilidade de realizar un ataque, os investigadores compraron o dominio dun dos paquetes que non verifica as sumas de verificación e colocaron nel un arquivo co código e un script de instalación modificado. En lugar do contido real, engadiuse ao script unha mensaxe de aviso sobre a execución de código de terceiros. Un intento de instalar o paquete levou á descarga de ficheiros substituídos e, xa que non se comprobou a suma de verificación, á instalación e ao lanzamento exitosos do código engadido polos experimentadores.
Paquetes cuxos dominios con código caducaron:
- firefox-baleiro
- gvim-checkpath
- viño-pixi2
- xcursor-theme-wii
- sen zonas de luz
- escalafmt-nativo
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-iuse
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Fonte: opennet.ru