Her paketin kurulum betiği sisteminize kök erişimine sahiptir, bu nedenle sadece bir PPA ekleme veya bir paketi bir paketten yükleme eylemi, PPA sahibinin kendi parçası için gizli bir güven beyanıdır.
Peki, güveniniz yanlış yere yerleştirilmişse ve bir PPA sahibi yaramaz olmak isterse ne olur?
Bir PPA'ya yükleme yapmak için bir paket, başlatıcı kullanıcısı için benzersiz olan bir GPG anahtarıyla imzalanmalıdır (aslında, davranış kodunu imzaladıkları aynı anahtarla). Bu nedenle, bilinen kötü niyetli bir PPA olması durumunda, hesabı yasaklar ve PPA'yı kapatırdık (etkilenen sistemler hala tehlikeye girer, ancak bu noktada onları düzeltmenin iyi bir yolu yoktur).
Bir dereceye kadar Launchpad'in sosyal özellikleri, önleyici kötü kullanıcıların bir ölçüsü olarak kullanılabilir - Ubuntu'ya katkıda bulunan bir geçmişi olan ve bazı kurulmuş Launchpad karma'larının, örneğin, bir tuzak PPA'sı kurma olasılığı daha düşüktür.
Ya da birisi kendi olmayan bir PPA'nın kontrolünü ele geçirirse?
Peki, bu bir tehdit senaryosundan biraz daha zor, ancak aynı zamanda daha düşük bir saldırganın hem launchpad kullanıcılarının özel anahtar dosyasını (genellikle sadece bilgisayarlarında) hem de kilit açma kodunu (genellikle güçlü bir parola değil) almasını gerektiriyor başka bir şey için kullanılır). Ancak bu gerçekleşirse, birinin hesaplarının tehlikeye atıldığını anlaması genellikle oldukça basittir (Launchpad örneğin, yüklemedikleri paketler hakkında onlara e-posta gönderir) ve temizleme prosedürü aynı olacaktır.
Bu nedenle, genel olarak, PPA'lar kötü amaçlı yazılımlar için olası bir vektördür, ancak saldırganların sizden sonra gelmesi için çok daha kolay yöntemler vardır.