Opublikowano wyniki eksperymentu mającego na celu przejęcie kontroli nad pakietami w repozytorium AUR (Arch User Repository), służącym do dystrybucji przez zewnętrznych twórców ich pakietów bez umieszczania ich w głównych repozytoriach dystrybucji Arch Linux. Badacze przygotowali skrypt sprawdzający wygaśnięcie rejestracji domen pojawiających się w plikach PKGBUILD i SRCINFO. Podczas uruchamiania tego skryptu zidentyfikowano 14 wygasłych domen, używanych w 20 pakietach do pobierania plików.
Sama rejestracja domeny nie wystarczy, aby sfałszować pakiet, ponieważ pobrana zawartość jest sprawdzana z sumą kontrolną już załadowaną do AUR. Okazuje się jednak, że opiekunowie około 35% pakietów w AUR używają parametru „SKIP” w pliku PKGBUILD, aby pominąć weryfikację sumy kontrolnej (na przykład określ sha256sums=('SKIP')). Spośród 20 pakietów z wygasłymi domenami parametr SKIP został użyty w 4.
Aby zademonstrować możliwość przeprowadzenia ataku, badacze kupili domenę jednego z pakietów, który nie sprawdza sum kontrolnych i umieścili na niej archiwum z kodem i zmodyfikowanym skryptem instalacyjnym. Zamiast samej treści do skryptu dodano komunikat ostrzegawczy o wykonaniu kodu strony trzeciej. Próba instalacji pakietu doprowadziła do pobrania podstawionych plików, a ponieważ suma kontrolna nie została sprawdzona, do pomyślnej instalacji i uruchomienia kodu dodanego przez eksperymentatorów.
Pakiety, których domeny z kodem wygasły:
- odkurzacz Firefox
- ścieżka kontrolna gvim
- wino-pixi2
- xcursor-theme-wii
- bez strefy świetlnej
- pochodzący ze scalafmt
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- Polly-b-zniknęła
- erwiz
- razem
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- zrzut eteru
- kosz na drzemkę
- iscfpc
- iscfpc-aarch64
- iscfpcx
Źródło: opennet.ru