Sono stati pubblicati i risultati di un esperimento sulla presa del controllo dei pacchetti nel repository AUR (Arch User Repository), utilizzato per la distribuzione da parte di sviluppatori di terze parti dei loro pacchetti senza inclusione nei repository principali della distribuzione Arch Linux. I ricercatori hanno preparato uno script che controlla la scadenza delle registrazioni dei domini che appaiono nei file PKGBUILD e SRCINFO. Durante l'esecuzione di questo script sono stati identificati 14 domini scaduti, utilizzati in 20 pacchetti per il download di file.
La semplice registrazione di un dominio non Γ¨ sufficiente per falsificare un pacchetto, poichΓ© il contenuto scaricato viene confrontato con il checksum giΓ caricato in AUR. Tuttavia, risulta che i manutentori di circa il 35% dei pacchetti in AUR utilizzano il parametro "SKIP" nel file PKGBUILD per saltare la verifica del checksum (ad esempio, specifica sha256sums=('SKIP')). Dei 20 pacchetti con domini scaduti, in 4 Γ¨ stato utilizzato il parametro SKIP.
Per dimostrare la possibilitΓ di un attacco, i ricercatori hanno acquistato il dominio di uno dei pacchetti che non controlla le checksum e vi hanno inserito un archivio con il codice e uno script di installazione modificato. Al posto del contenuto vero e proprio, allo script Γ¨ stato aggiunto un messaggio di avviso sull'esecuzione di codice di terze parti. Un tentativo di installazione del pacchetto ha portato allo scaricamento di file sostitutivi e, poichΓ© il checksum non Γ¨ stato verificato, all'installazione e al lancio con successo del codice aggiunto dagli sperimentatori.
Pacchetti i cui domini con codice erano scaduti:
- firefox-vacuum
- gvim-checkpath
- vino-pixi2
- xcursor-theme-wii
- senza zone luminose
- scalafmt-nativo
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-andata
- Erwiz
- tot
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- cestino per il pisolino
- iscfpc
- iscfpc-aarch64
- iscfpcx
Fonte: opennet.ru