Objavljeni su rezultati eksperimenta preuzimanja kontrole nad paketima u AUR (Arch User Repository) repozitoriju, koji koriste programeri trećih strana za distribuciju svojih paketa, a da nisu uključeni u glavne repozitorije distribucije Arch Linuxa, objavljeni su. Istraživači su pripremili skriptu koja provjerava istek registracije domena koje se pojavljuju u datotekama PKGBUILD i SRCINFO. Pokretanje ove skripte otkrilo je 14 isteklih domena koje se koriste u 20 paketa za učitavanje datoteka.
Jednostavna registracija domene nije dovoljna za lažiranje paketa, jer se preuzeti sadržaj provjerava prema kontrolnom zbroju koji je već učitan u AUR. Međutim, čini se da oko 35% paketa u AUR-u koristi parametar "SKIP" u datoteci PKGBUILD za preskakanje provjere kontrolnog zbroja (na primjer, navedite sha256sums=('SKIP')). Od 20 paketa s isteklim domenama, u 4 je korišten parametar SKIP.
Kako bi demonstrirali mogućnost počinjenja napada, istraživači su kupili domenu jednog od paketa koji ne provjeravaju kontrolne zbrojeve i na nju postavili arhivu s kodom i modificiranu instalacijsku skriptu. Umjesto stvarnog sadržaja, u skriptu je dodano upozorenje o izvršavanju koda treće strane. Pokušaj instaliranja paketa doveo je do preuzimanja lažiranih datoteka i, budući da kontrolni zbroj nije bio provjeren, do uspješne instalacije i pokretanja koda koji su dodali eksperimentatori.
Paketi s isteklim domenama:
- firefox-vakuum
- gvim-kontrolni put
- vino-pixi2
- xcursor-theme-wii
- bez svjetlosne zone
- scalafmt-domaći
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-nestala
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- kanta za drijemanje
- iscfpc
- iscfpc-aarch64
- iscfpcx
Izvor: opennet.ru