Matokeo ya jaribio la kukamata udhibiti wa vifurushi katika hazina ya AUR (Arch User Repository), inayotumiwa kusambazwa na watengenezaji wa mashirika mengine ya vifurushi vyao bila kujumuishwa katika hazina kuu za usambazaji wa Arch Linux, yamechapishwa. Watafiti walitayarisha hati inayokagua mwisho wa usajili wa kikoa unaoonekana kwenye faili za PKGBUILD na SRCINFO. Wakati wa kuendesha hati hii, vikoa 14 vilivyoisha muda vilitambuliwa, vilivyotumika katika vifurushi 20 vya kupakua faili.
Kusajili kikoa tu hakutoshi kuharibu kifurushi, kwa kuwa maudhui yaliyopakuliwa yanakaguliwa dhidi ya hundi ambayo tayari imepakiwa kwenye AUR. Walakini, inabadilika kuwa watunzaji wa takriban 35% ya vifurushi katika AUR hutumia kigezo cha "SKIP" katika faili ya PKGBUILD ili kuruka uthibitishaji wa hundi (kwa mfano, bainisha sha256sums=('SKIP')). Kati ya pakiti 20 zilizo na vikoa vilivyoisha muda wake, kigezo cha SKIP kilitumika katika 4.
Ili kuonyesha uwezekano wa kufanya shambulio, watafiti walinunua kikoa cha moja ya kifurushi ambacho hakiangalii ukaguzi na kuweka kumbukumbu na nambari na hati ya usakinishaji iliyorekebishwa juu yake. Badala ya maudhui halisi, ujumbe wa onyo kuhusu utekelezaji wa msimbo wa watu wengine uliongezwa kwenye hati. Jaribio la kusakinisha kifurushi lilisababisha upakuaji wa faili zilizobadilishwa na, kwa kuwa cheki haikuangaliwa, hadi usakinishaji na uzinduzi uliofaulu wa msimbo ulioongezwa na wajaribu.
Vifurushi ambavyo vikoa vyake vilivyo na msimbo viliisha muda wake:
- firefox-utupu
- gvim-checkpath
- divai-pixi2
- xcursor-mandhari-wii
- lightzone-bure
- scalafmt-asili
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gone
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Chanzo: opennet.ru