Эксперимент по получению контроля над пакетами AUR

[indeviral]

Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов.

Простой регистрации домена недостаточно для подмены пакета, так как загружаемое содержимое проверяется по уже загруженной в AUR контрольной сумме. Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP" для пропуска проверки контрольной суммы (например, указывают sha256sums=('SKIP')). Из 20 пакетов с просроченными доменами параметр SKIP использовался в 4.

Для демонстрации возможности совершения атаки исследователи купили домен одного из пакетов, не проверяющих контрольные суммы, и разместили на нём архив с кодом и изменённый сценарий установки. Вместо фактического содержимого в сценарий был добавлен вывод предупреждения о выполнении стороннего кода. Попытка установки пакета приводила к загрузке подменённых файлов и, так как контрольная сумма не проверялась, к успешной установке и запуску добавленного экспериментаторами кода.

Пакеты, домены с кодом для которых оказались просрочены:

Cкрытый текст

• firefox-vacuum
  gvim-checkpath
  wine-pixi2
  xcursor-theme-wii
  lightzone-free
  scalafmt-native
  coolq-pro-bin
  gmedit-bin
  mesen-s-bin
  polly-b-gone
  erwiz
  totd
  kygekteampmmp4
  servicewall-git
  amuletml-bin
  etherdump
  nap-bin
  iscfpc
  iscfpc-aarch64
  iscfpcx

[vall]

Вижу в факте данного исследования прежде всего нарастающую популярность Arch Linux и дистрибутивов на его основе.

Что касается выявленных проблем, то в данном случае всё зависит от прокладки между клавиатурой и стулом. Ничего необычного. Всё как всегда.
Да, а в других дистрибутивах проблем нет? Не уверен. И ещё раз -- AUR это неофициальный репозиторий Arch Linux -- позволяющий значительно расширить возможность использования разнообразных пакетов пользователями. На их страх и риск.

Пара комментов в источнике.

1) "Сам писал PKGBUILD для себя, и что-то даже пушил в AUR. И я проверяю PKGBUILD используемых мной пакетов. Скорее из любопытства, чем из соображений безопасности.

Что касается бубунты, как не вспомнить PPA для того, чего нет в официальных репах. И пакеты со сторонних источников, собранных в OBS? И да, левые пакеты, собранные Васяном, это беда многих дистров. Вам никогда в чужих системах с RPM пакеты не из официальных реп не попадались? Launchpad PPA, OBS, репы левых энтузиастов вроде бразильской репы от фанов Fedora, Snap, Flatpack и куча подобного добра. Да когда пакет нужен вчера, и нубу, что не может сам опакетить софт, он установит что угодно и куда угодно по первой найденной им инструкции в интернете. Даже если инструкция начинается с вариантов вроде wget -O- <что-то там> | bash -, многие запустят это, даже не проверив, что там выполняет у них bash, зачастую ещё и запущенный от рута. Удобство vs безопасность — это извечный выбор, где в 99% всегда побеждает удобство.

Да даже на Mac OS X / Windows есть подобные "помойки", как вы говорите. И это нормально".


2) "То есть из всего AURа они нашли всего 20 пакетов, где skip исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом, что тут сказать"