Resultatene av et eksperiment med å ta kontroll over pakker i AUR-depotet (Arch User Repository), brukt til distribusjon av tredjepartsutviklere av pakkene deres uten inkludering i hovedlagrene til Arch Linux-distribusjonen, har blitt publisert. Forskerne utarbeidet et skript som sjekker utløpet av domeneregistreringer som vises i filene PKGBUILD og SRCINFO. Når du kjører dette skriptet, ble 14 utløpte domener identifisert, brukt i 20 pakker for å laste ned filer.
Bare å registrere et domene er ikke nok til å forfalske en pakke, siden det nedlastede innholdet kontrolleres mot sjekksummen som allerede er lastet inn i AUR. Det viser seg imidlertid at vedlikeholdere av ca. 35 % av pakkene i AUR-en bruker "SKIP"-parameteren i PKGBUILD-filen for å hoppe over kontrollsumverifisering (spesifiser for eksempel sha256sums=('SKIP')). Av de 20 pakkene med utløpte domener ble SKIP-parameteren brukt i 4.
For å demonstrere muligheten for å utføre et angrep, kjøpte forskerne domenet til en av pakkene som ikke sjekker sjekksummer og plasserte et arkiv med koden og et modifisert installasjonsskript på. I stedet for det faktiske innholdet ble en advarsel om utførelse av tredjepartskode lagt til skriptet. Et forsøk på å installere pakken førte til nedlasting av erstattede filer og, siden sjekksummen ikke ble sjekket, til vellykket installasjon og lansering av koden lagt til av eksperimentatorene.
Pakker hvis domener med kode er utløpt:
- firefox-vakuum
- gvim-sjekksti
- vin-pixi2
- xcursor-theme-wii
- lyssonefri
- scalafmt-innfødt
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-borte
- erwiz
- totd
- kygekkampmmp4
- servicewall-git
- amuletml-bin
- eterdump
- lur-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Kilde: opennet.ru