Rezultatet e një eksperimenti për të marrë kontrollin e paketave në Arch User Repository (AUR), një depo e përdorur nga zhvilluesit e palëve të treta për të shpërndarë paketat e tyre pa i përfshirë ato në depot kryesore të Arch Linux. Studiuesit zhvilluan një skript që kontrollon për domene të skaduara të listuara në skedarët PKGBUILD dhe SRCINFO. Duke ekzekutuar këtë skript, ata identifikuan 14 domene të skaduara të përdorura në 20 paketa për shkarkimin e skedarëve.
I thjeshtë regjistrimi i domenit Kjo nuk është e mjaftueshme për falsifikimin e paketave, pasi përmbajtja e shkarkuar verifikohet kundrejt shumës së kontrollit që është ngarkuar tashmë në AUR. Megjithatë, doli që mirëmbajtësit e afërsisht 35% të paketave në AUR përdorin parametrin "SKIP" në skedarin PKGBUILD për të anashkaluar verifikimin e shumës së kontrollit (për shembull, duke specifikuar sha256sums=('SKIP')). Nga 20 paketat me domene të skaduara, parametri SKIP u përdor në 4 prej tyre.
Për të demonstruar realizueshmërinë e sulmit, studiuesit blenë domenin e një pakete që nuk verifikonte shumat e kontrollit dhe strehuan një arkiv që përmbante kodin dhe një skript instalimi të modifikuar. Në vend të përmbajtjes aktuale, skripti u modifikua për të shfaqur një paralajmërim në lidhje me ekzekutimin e kodit të palës së tretë. Përpjekja për të instaluar paketën rezultoi në shkarkimin e skedarëve të modifikuar dhe, meqenëse shuma e kontrollit nuk u verifikua, instalimin dhe ekzekutimin me sukses të kodit të shtuar nga eksperimentuesit.
Paketat për të cilat domenet me kode kanë skaduar:
- firefox-vacuum
- gvim-checkpath
- wine-pixi2
- tema-e-xcursor-it-wii
- pa zonë ndriçimi
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- Polly-b-gone
- erwiz
- total
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- kosh për gjumë
- iscfpc
- iscfpc-aarch64
- iscfpcx
Burimi: opennet.ru
