Foram publicados os resultados de um experimento de tomada de controle de pacotes no repositório AUR (Arch User Repository), utilizado para distribuição por desenvolvedores terceirizados de seus pacotes sem inclusão nos principais repositórios da distribuição Arch Linux. Os pesquisadores prepararam um script que verifica a expiração dos registros de domínio que aparecem nos arquivos PKGBUILD e SRCINFO. Ao executar este script, foram identificados 14 domínios expirados, utilizados em 20 pacotes para download de arquivos.
O simples registro de um domínio não é suficiente para falsificar um pacote, uma vez que o conteúdo baixado é verificado em relação à soma de verificação já carregada no AUR. No entanto, acontece que os mantenedores de cerca de 35% dos pacotes no AUR usam o parâmetro "SKIP" no arquivo PKGBUILD para ignorar a verificação da soma de verificação (por exemplo, especifique sha256sums=('SKIP')). Dos 20 pacotes com domínios expirados, o parâmetro SKIP foi utilizado em 4.
Para demonstrar a possibilidade de realização de um ataque, os pesquisadores compraram o domínio de um dos pacotes que não verifica checksums e colocaram nele um arquivo com o código e um script de instalação modificado. Em vez do conteúdo real, uma mensagem de aviso sobre a execução de código de terceiros foi adicionada ao script. Uma tentativa de instalação do pacote levou ao download dos arquivos substituídos e, como a soma de verificação não foi verificada, à instalação e ao lançamento bem-sucedidos do código adicionado pelos experimentadores.
Pacotes cujos domínios com código expiraram:
- vácuo-firefox
- caminho de verificação gvim
- vinho-pixi2
- xcursor-tema-wii
- sem zona de luz
- nativo do scalafmt
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-se foi
- erwiz
- tudo
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- cochilo
- iscfpc
- iscfpc-aarch64
- iscfpcx
Fonte: opennet.ru