Boli zverejnené výsledky experimentu o prevzatí kontroly nad balíkmi v repozitári AUR (Arch User Repository), ktorý používajú vývojári tretích strán na distribúciu ich balíčkov bez zahrnutia do hlavných repozitárov distribúcie Arch Linux. Výskumníci pripravili skript, ktorý kontroluje uplynutie platnosti registrácií domén, ktoré sa objavujú v súboroch PKGBUILD a SRCINFO. Pri spustení tohto skriptu bolo identifikovaných 14 expirovaných domén použitých v 20 balíkoch na sťahovanie súborov.
Na sfalšovanie balíka nestačí len registrácia domény, pretože stiahnutý obsah sa kontroluje s kontrolným súčtom, ktorý je už načítaný do AUR. Ukázalo sa však, že správcovia asi 35 % balíkov v AUR používajú parameter „SKIP“ v súbore PKGBUILD na preskočenie overenia kontrolného súčtu (napríklad zadajte sha256sums=('SKIP')). Z 20 paketov s expirovanými doménami bol parameter SKIP použitý v 4.
Na demonštráciu možnosti vykonania útoku výskumníci kúpili doménu jedného z balíkov, ktorý nekontroluje kontrolné súčty, a umiestnili na ňu archív s kódom a upraveným inštalačným skriptom. Namiesto skutočného obsahu bola do skriptu pridaná varovná správa o spustení kódu tretej strany. Pokus o inštaláciu balíka viedol k stiahnutiu nahradených súborov a keďže kontrolný súčet nebol kontrolovaný, k úspešnej inštalácii a spusteniu kódu pridaného experimentátormi.
Balíky, ktorých platnosť domén s kódom vypršala:
- firefox-vákuum
- gvim-checkpath
- víno-pixi2
- xcursor-theme-wii
- bez svetelných zón
- scalafmt-pôvodný
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-preč
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Zdroj: opennet.ru