اے یو آر (آرچ یوزر ریپوزٹری) ریپوزٹری میں پیکجوں کے کنٹرول پر قبضہ کرنے کے تجربے کے نتائج شائع کیے گئے ہیں، جو آرک لینکس ڈسٹری بیوشن کے مرکزی ذخیروں میں شامل کیے بغیر ان کے پیکجوں کی تھرڈ پارٹی ڈویلپرز کے ذریعے تقسیم کے لیے استعمال ہوتے ہیں۔ محققین نے ایک اسکرپٹ تیار کیا جو PKGBUILD اور SRCINFO فائلوں میں ظاہر ہونے والے ڈومین رجسٹریشن کی میعاد ختم ہونے کی جانچ کرتا ہے۔ اس اسکرپٹ کو چلاتے وقت، 14 میعاد ختم ہونے والے ڈومینز کی نشاندہی کی گئی تھی، جو فائلوں کو ڈاؤن لوڈ کرنے کے لیے 20 پیکجوں میں استعمال کیے گئے تھے۔
بس ڈومین رجسٹر کرنا ہی کسی پیکج کو دھوکہ دینے کے لیے کافی نہیں ہے، کیونکہ ڈاؤن لوڈ کیے گئے مواد کو چیکسم کے خلاف چیک کیا جاتا ہے جو پہلے سے AUR میں بھری ہوئی ہے۔ تاہم، یہ پتہ چلتا ہے کہ AUR میں تقریباً 35% پیکجوں کے مینٹینرز چیکسم کی تصدیق کو چھوڑنے کے لیے PKGBUILD فائل میں "SKIP" پیرامیٹر استعمال کرتے ہیں (مثال کے طور پر sha256sums=('SKIP')) کی وضاحت کریں۔ میعاد ختم ہونے والے ڈومینز والے 20 پیکٹوں میں سے، SKIP پیرامیٹر 4 میں استعمال کیا گیا تھا۔
حملہ کرنے کے امکان کو ظاہر کرنے کے لیے، محققین نے ان پیکجوں میں سے ایک کا ڈومین خریدا جو چیکسم کو نہیں چیک کرتا اور اس پر کوڈ کے ساتھ ایک آرکائیو اور ایک ترمیم شدہ انسٹالیشن اسکرپٹ رکھا۔ اصل مواد کے بجائے، اسکرپٹ میں تھرڈ پارٹی کوڈ کے نفاذ کے بارے میں انتباہی پیغام شامل کیا گیا تھا۔ پیکیج کو انسٹال کرنے کی کوشش کے نتیجے میں متبادل فائلوں کو ڈاؤن لوڈ کیا گیا اور، چونکہ چیکسم کو چیک نہیں کیا گیا تھا، اس لیے تجربہ کاروں کے ذریعے شامل کیے گئے کوڈ کی کامیاب انسٹالیشن اور لانچنگ ہوئی۔
وہ پیکیج جن کے ڈومینز کوڈ کے ساتھ ختم ہو چکے تھے:
- فائر فاکس ویکیوم
- gvim-checkpath
- شراب pixi2
- xcursor-theme-wii
- لائٹ زون سے پاک
- scalafmt-آبائی
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- پولی-بی-گون
- ایرویز
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- ایتھرڈمپ
- جھپکی
- iscfpc
- iscfpc-aarch64
- iscfpcx
ماخذ: opennet.ru