Uchinchi tomon ishlab chiquvchilari o‘z paketlarini Arch Linux tarqatishning asosiy omborlariga kiritmasdan tarqatish uchun foydalaniladigan AUR (Arch User Repository) omboridagi paketlar nazoratini egallash bo‘yicha eksperiment natijalari e’lon qilindi. Tadqiqotchilar PKGBUILD va SRCINFO fayllarida paydo bo'ladigan domen ro'yxatga olish muddati tugashini tekshiradigan skript tayyorladilar. Ushbu skriptni ishga tushirishda fayllarni yuklab olish uchun 14 ta paketda ishlatilgan 20 ta muddati o'tgan domenlar aniqlandi.
Paketni aldash uchun shunchaki domenni ro'yxatdan o'tkazishning o'zi etarli emas, chunki yuklab olingan kontent allaqachon AURga yuklangan nazorat summasiga nisbatan tekshiriladi. Biroq, ma'lum bo'lishicha, AURdagi paketlarning taxminan 35% saqlovchilari nazorat summasini tekshirishni o'tkazib yuborish uchun PKGBUILD faylidagi "SKIP" parametridan foydalanadilar (masalan, sha256sums=('SKIP') belgilang). Muddati o'tgan domenli 20 ta paketdan 4 tasida SKIP parametri ishlatilgan.
Hujumni amalga oshirish imkoniyatini ko'rsatish uchun tadqiqotchilar nazorat summalarini tekshirmaydigan paketlardan birining domenini sotib oldilar va unga kod va o'zgartirilgan o'rnatish skripti bilan arxivni joylashtirdilar. Haqiqiy tarkib o'rniga skriptga uchinchi tomon kodining bajarilishi haqida ogohlantirish xabari qo'shildi. Paketni o'rnatishga urinish almashtirilgan fayllarni yuklab olishga va nazorat summasi tekshirilmaganligi sababli, tajribachilar tomonidan qo'shilgan kodni muvaffaqiyatli o'rnatish va ishga tushirishga olib keldi.
Kodli domenlari muddati tugagan paketlar:
- firefox-vakuum
- gvim-checkpath
- vino-pixi2
- xcursor-mavzu-wii
- yorug'lik zonasisiz
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-ketdi
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- dam olish uchun idish
- iscfpc
- iscfpc-aarch64
- iscfpcx
Manba: opennet.ru