Buvo paskelbti eksperimento, skirto perimti paketų kontrolę AUR (Arch User Repository) saugykloje, kurią trečiųjų šalių kūrėjai naudoja savo paketams platinti, neįtraukdami į pagrindines Arch Linux platinimo saugyklas, rezultatai. Tyrėjai parengė scenarijų, kuris tikrina, ar nesibaigė PKGBUILD ir SRCINFO failuose esančių domenų registracijos galiojimo laikas. Vykdant šį scenarijų paaiškėjo 14 pasibaigusių domenų, naudojamų 20 failų įkėlimo paketų.
Vien tik užregistruoti domeną neužtenka, kad būtų galima apgauti paketą, nes atsisiųstas turinys yra patikrinamas pagal kontrolinę sumą, jau įkeltą į AUR. Tačiau atrodo, kad maždaug 35 % AUR paketų naudoja parametrą „SKIP“ PKGBUILD faile, kad praleistų kontrolinės sumos tikrinimą (pavyzdžiui, nurodykite sha256sums=('SKIP')). Iš 20 paketų su pasibaigusio galiojimo domenais parametras SKIP buvo naudojamas 4.
Norėdami parodyti galimybę įvykdyti ataką, mokslininkai nusipirko vieno iš paketų, kurie netikrina kontrolinių sumų, domeną ir įdėjo archyvą su kodu ir pakeistu diegimo scenarijumi. Vietoj tikrojo turinio į scenarijų buvo įtrauktas įspėjimas apie trečiosios šalies kodo vykdymą. Bandymas įdiegti paketą paskatino suklastotų failų atsisiuntimą ir, kadangi kontrolinė suma nebuvo patikrinta, sėkmingai įdiegtas ir paleistas eksperimentuotojų pridėtas kodas.
Paketai su nebegaliojančiais domenais:
- firefox-vakuuminis
- gvim-checkpath
- vynas-pixi2
- xcursor-theme-wii
- be šviesos zonos
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-dingo
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- eterio sąvartynas
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Šaltinis: opennet.ru