奪取 AUR(Arch 用戶儲存庫)儲存庫中軟體包控制權的實驗結果已經發布,該儲存庫用於由第三方開發人員分發其軟體包,而不包含在 Arch Linux 發行版的主儲存庫中。 研究人員準備了一個腳本,用於檢查 PKGBUILD 和 SRCINFO 檔案中出現的網域註冊的過期情況。 執行此腳本時,識別出 14 個過期網域,用於 20 個檔案下載套件。
僅僅註冊網域不足以欺騙軟體包,因為下載的內容是根據已載入到 AUR 中的校驗和進行檢查的。 然而,事實證明,AUR 中約 35% 的軟體包的維護者使用 PKGBUILD 檔案中的「SKIP」參數來跳過校驗和驗證(例如,指定 sha256sums=('SKIP'))。 在 20 個具有過期域的資料包中,有 4 個資料包使用了 SKIP 參數。
為了證明進行攻擊的可能性,研究人員購買了一個不檢查校驗和的軟體包的域,並在其中放置了包含程式碼和修改後的安裝腳本的存檔。 腳本中新增了有關執行第三方程式碼的警告訊息,而不是實際內容。 嘗試安裝軟體包會導致下載替換文件,並且由於未檢查校驗和,因此會成功安裝並啟動實驗者添加的程式碼。
包含代碼的網域已過期的軟體包:
- 火狐真空
- gvim 檢查路徑
- Wine-pixi2
- xcursor-主題-wii
- 無光區
- Scalafmt 原生
- Coolq-Pro-bin
- gmedit-bin
- 梅森賓
- 波利 b 消失
- 埃爾維茲
- 托德
- kygekteampmmp4
- servicewall-git
- 護身符箱
- 以太轉儲
- 午睡箱
- 電腦網路
- iscfpc-aarch64
- 電腦軟體
來源: opennet.ru