Setiap skrip instalasi setiap paket memiliki akses root ke sistem Anda, jadi tindakan hanya menambahkan PPA atau menginstal paket dari satu adalah pernyataan kepercayaan implisit di pihak Anda dari pemilik PPA.
Jadi, apa yang terjadi jika kepercayaan Anda salah tempat dan pemilik PPA ingin nakal?
Untuk mengunggah ke PPA, sebuah paket harus ditandatangani oleh kunci GPG yang unik untuk pengguna launchpad (memang, kunci yang sama dengan mereka menandatangani kode etik). Jadi dalam kasus PPA berbahaya yang dikenal, kami hanya akan melarang akun dan mematikan PPA (sistem yang terkena dampak masih akan dikompromikan, tapi toh tidak ada cara yang baik untuk memperbaikinya pada saat itu).
Hingga taraf tertentu fitur sosial Launchpad dapat digunakan sebagai sedikit tindakan pencegahan bagi pengguna yang buruk - seseorang yang memiliki sejarah berkontribusi pada Ubuntu dan beberapa karma Launchpad yang mapan, misalnya, kecil kemungkinannya untuk membuat perangkap PPA.
Atau bagaimana jika seseorang mendapatkan kendali atas PPA yang bukan milik mereka?
Yah, ini sedikit lebih keras dari skenario ancaman, tetapi juga lebih kecil kemungkinannya karena membutuhkan penyerang untuk mendapatkan file kunci pribadi pengguna launchpad (umumnya hanya di komputer mereka) serta kode pembuka untuknya (umumnya kata sandi yang kuat tidak digunakan untuk hal lain). Namun, jika ini terjadi, biasanya cukup mudah bagi seseorang untuk mengetahui bahwa akun mereka telah disusupi (Launchpad misalnya akan mengirim email kepada mereka tentang paket yang tidak mereka unggah), dan prosedur pembersihannya akan sama.
Jadi, singkatnya, PPA adalah vektor yang mungkin untuk perangkat lunak berbahaya, tetapi mungkin ada metode yang jauh lebih mudah bagi penyerang untuk mengejar Anda.
Membangun mekanisme peringkat kepercayaan (mungkin didistribusikan) untuk PPA telah ada di roadmap USC untuk sementara waktu, tetapi belum diimplementasikan.
sumber
Tidak pernah ada jaminan tetapi dalam lingkungan yang didukung komunitas, kami berkembang dengan "keyakinan". Saya telah menambahkan minimal 20 PPA ke sumber saya dan tidak pernah mengalami masalah sampai sekarang. Jika, secara kebetulan dan seperti yang Anda sebutkan, ancaman / virus / pintu belakang ditanam di sistem saya oleh PPA, saya akan mengetahuinya entah bagaimana, dengan hormat dari komunitas dan hanya menghapusnya. Dan BTW, sebelum menambahkan PPA, saya selalu memeriksa paket apa yang terdaftar di dalamnya.
PS : Pidgin tidak pernah mengirim nama pengguna dan kata sandi ke server (dan tidak pernah ke pihak ketiga!) "Diam-diam". Semuanya dilakukan dengan persetujuan pengguna. Agar Anda tetap terhubung dengan mulus, Pidgin tidak bisa mem-ping Anda setiap kali mengirim kredensial masuk ke server. Diharapkan bahwa Anda telah mengizinkannya untuk melakukannya, setelah Anda memberikan perinciannya. Saya lebih suka berpikir dua kali sebelum memanggil Pidgin sebagai "pintu belakang". :)
sumber