Опубліковано результати експерименту із захоплення контролю над пакетами в репозиторії AUR (Arch User Repository), який застосовується для поширення сторонніми розробниками своїх пакетів без включення до основних репозиторій дистрибутива Arch Linux. Дослідники підготували скрипт, що перевіряє закінчення реєстрації доменів, що фігурують у файлах PKGBUILD та SRCINFO. У ході запуску даного скрипту було виявлено 14 прострочених доменів, які використовуються в 20 пакетах для завантаження файлів.
Простої реєстрації домену недостатньо для заміни пакета, оскільки завантажуваний вміст перевіряється за вже завантаженою в AUR контрольною сумою. Тим не менш, виявилося, що близько 35% пакетів в AUR, що супроводжують, використовують у файлі PKGBUILD параметр «SKIP» для пропуску перевірки контрольної суми (наприклад, вказують sha256sums=('SKIP')). З 20 пакетів з простроченими доменами параметр SKIP використовувався 4.
Для демонстрації можливості атаки дослідники купили домен одного з пакетів, що не перевіряють контрольні суми, і розмістили на ньому архів з кодом і змінений сценарій установки. Замість фактичного вмісту до сценарію було додано висновок попередження про виконання стороннього коду. Спроба встановлення пакета призводила до завантаження підмінених файлів і, оскільки контрольна сума не перевірялася, успішної установки і запуску доданого експериментаторами коду.
Пакети, домени з кодом для яких виявилися простроченими:
- firefox-vacuum
- gvim-checkpath
- wine-pixi2
- xcursor-theme-wii
- lightzone-free
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gone
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Джерело: opennet.ru