Das Installationsskript jedes Pakets hat Root-Zugriff auf Ihr System. Das Hinzufügen eines PPA oder das Installieren eines Pakets von einem PPA aus ist also eine implizite Vertrauenserklärung Ihres PPA-Besitzers.
Was passiert also, wenn Ihr Vertrauen verloren geht und ein PPA-Besitzer ungezogen sein möchte?
Zum Hochladen auf eine PPA muss ein Paket mit einem für den Launchpad-Benutzer eindeutigen GPG-Schlüssel signiert sein (in der Tat mit demselben Schlüssel, mit dem sie den Verhaltenskodex signiert haben). Im Falle einer bekannten böswilligen PPA würden wir einfach das Konto sperren und die PPA herunterfahren (betroffene Systeme wären immer noch kompromittiert, aber es gibt ohnehin keine gute Möglichkeit, sie zu beheben).
In gewissem Maße können die sozialen Funktionen von Launchpad als vorbeugende Maßnahme gegen schlechte Benutzer verwendet werden - jemand, der in der Vergangenheit zu Ubuntu beigetragen hat und zum Beispiel ein etabliertes Launchpad-Karma hat, ist weniger geneigt, eine Trap-PPA einzurichten.
Oder was ist, wenn jemand die Kontrolle über eine PPA erlangt, die ihm nicht gehört?
Nun, dies ist ein bisschen schwieriger als ein Bedrohungsszenario, aber auch weniger wahrscheinlich, da ein Angreifer sowohl die private Schlüsseldatei des Launchpad-Benutzers (normalerweise nur auf seinem Computer) als auch den Freischaltcode dafür erhalten muss (normalerweise kein sicheres Kennwort) für alles andere verwendet). In diesem Fall ist es jedoch in der Regel recht einfach, herauszufinden, dass das Konto des Benutzers kompromittiert wurde (Launchpad sendet beispielsweise eine E-Mail mit Informationen zu den Paketen, die nicht hochgeladen werden), und die Bereinigungsprozedur ist dieselbe.
In der Summe sind PPAs ein möglicher Vektor für bösartige Software, aber es gibt wahrscheinlich viel einfachere Methoden, mit denen Angreifer Sie verfolgen können.
Die Einrichtung eines (möglicherweise verteilten) Mechanismus für Vertrauensbewertungen für PPAs ist seit einiger Zeit in der USC- Roadmap vorgesehen, wurde jedoch noch nicht implementiert.
quelle
Es gibt keine Garantie, aber in einer von der Community unterstützten Umgebung leben wir vom "Glauben". Ich habe meinen Quellen mindestens 20 PPAs hinzugefügt und bis jetzt noch nie ein Problem festgestellt. Wenn zufällig und wie Sie bereits erwähnt haben, eine Bedrohung, ein Virus oder eine Hintertür von einem PPA auf meinem System installiert wird, würde ich dies irgendwie erfahren, mit freundlicher Genehmigung der Community, und es einfach entfernen. Und übrigens, bevor ich eine PPA hinzufüge, überprüfe ich immer, welche Pakete darin aufgelistet sind.
PS : Pidgin sendet niemals "heimlich" Benutzernamen und Passwörter an die Server (und niemals an Dritte!). Alles wird mit Zustimmung des Benutzers durchgeführt. Pidgin kann Sie nicht jedes Mal anpingen, wenn die Anmeldeinformationen an die Server gesendet werden, um eine nahtlose Verbindung zu gewährleisten. Es wird erwartet, dass Sie dazu autorisiert sind, sobald Sie die Details angegeben haben. Ich würde lieber zweimal überlegen, bevor ich Pidgin eine "Hintertür" nenne. :)
quelle