Hasil percobaan pikeun ngarebut kontrol pakét dina gudang AUR (Arch User Repository), anu dianggo ku pamekar pihak katilu pikeun ngadistribusikaeun bungkusanna tanpa dilebetkeun kana gudang utama distribusi Arch Linux, parantos diterbitkeun. Para panalungtik nyiapkeun naskah anu mariksa béakna pendaptaran domain anu muncul dina file PKGBUILD sareng SRCINFO. Ngajalankeun naskah ieu dicirikeun 14 domain kadaluwarsa dipaké dina 20 pakét unggah file.
Kantun ngadaptar domain teu cukup pikeun spoof bungkusan, sabab eusi diundeur dipariksa ngalawan checksum geus diunggah dina AUR. Sanajan kitu, ngeunaan 35% bungkusan dina AUR némbongan ngagunakeun parameter "SKIP" dina file PKGBUILD pikeun skip cek checksum (Contona, tangtukeun sha256sums = ('SKIP')). Tina 20 bungkusan sareng domain kadaluwarsa, parameter SKIP dianggo dina 4.
Pikeun demonstrate kamungkinan committing serangan, panalungtik meuli domain salah sahiji bungkusan nu teu pariksa checksums, sarta nempatkeun hiji arsip jeung kode jeung skrip instalasi dirobah dina eta. Gantina eusi sabenerna, peringatan ngeunaan palaksanaan kode pihak katilu geus ditambahkeun kana naskah. Usaha pikeun masang pakét nyababkeun undeuran file palsu sareng, sabab checksum henteu dipariksa, kana pamasangan anu suksés sareng peluncuran kode anu ditambihan ku ékspérimén.
Paket sareng domain kadaluwarsa:
- firefox-vakum
- gvim-checkpath
- anggur-pixi2
- xcursor-téma-wii
- lightzone-gratis
- scalafmt-pribumi
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-Isro
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- sare waktu beurang
- iscfpc
- iscfpc-aarch64
- iscfpcx
sumber: opennet.ru