สคริปต์การติดตั้งของแพคเกจทั้งหมดมีการเข้าถึงรูทของระบบของคุณดังนั้นการกระทำเพียงแค่เพิ่ม PPA หรือการติดตั้งแพคเกจจากหนึ่งเป็นคำสั่งที่เชื่อถือได้โดยปริยายในส่วนของเจ้าของ PPA
ดังนั้นจะเกิดอะไรขึ้นถ้าความเชื่อมั่นของคุณถูกใส่ผิดที่และเจ้าของ PPA ต้องการที่จะซน?
ในการอัปโหลดไปยัง PPA แพคเกจจะต้องลงนามโดยคีย์ GPG ที่ไม่ซ้ำกันสำหรับผู้ใช้ launchpad (แน่นอนว่าเป็นคีย์เดียวกันกับที่พวกเขาลงนามในจรรยาบรรณทางธุรกิจด้วย) ดังนั้นในกรณีของ PPA ที่เป็นอันตรายที่รู้จักกันเราก็จะแบนบัญชีและปิด PPA (ระบบที่ได้รับผลกระทบจะยังคงถูกบุกรุก แต่ไม่มีวิธีที่ดีที่จะแก้ไขได้ในจุดนั้น)
ในระดับหนึ่งคุณสมบัติทางสังคมของ Launchpad สามารถใช้เป็นมาตรการป้องกันของผู้ใช้ที่ไม่ดี - บางคนที่มีประวัติของการมีส่วนร่วมกับ Ubuntu และกรรม Launchpad ที่จัดตั้งขึ้นเช่นมีโอกาสน้อยที่จะตั้งค่า PPA กับดัก
หรือถ้ามีใครควบคุม PPA ที่ไม่ใช่ของพวกเขาล่ะ?
นี่เป็นสถานการณ์ที่คุกคามเล็กน้อย แต่ก็มีโอกาสน้อยกว่าเนื่องจากผู้โจมตีต้องการทั้งไฟล์ไพรเวตคีย์ของผู้ใช้ Launchpad (โดยทั่วไปบนคอมพิวเตอร์) และรหัสปลดล็อค (โดยทั่วไปรหัสผ่านไม่ดี ใช้เพื่อสิ่งอื่น) หากเกิดเหตุการณ์เช่นนี้มักจะค่อนข้างง่ายสำหรับบางคนที่รู้ว่าบัญชีของพวกเขาถูกบุกรุก (Launchpad จะส่งอีเมลถึงพวกเขาเกี่ยวกับแพ็คเกจที่ไม่ได้อัปโหลด) และขั้นตอนการล้างข้อมูลจะเหมือนกัน
โดยรวมแล้ว PPAs เป็นเวกเตอร์ที่เป็นไปได้สำหรับซอฟต์แวร์ที่เป็นอันตราย แต่อาจมีวิธีที่ง่ายกว่าสำหรับผู้โจมตีที่จะมาตามคุณ