हर पैकेज की इंस्टॉल स्क्रिप्ट में आपके सिस्टम का रूट एक्सेस होता है, इसलिए PPA को जोड़ने या एक से एक पैकेज स्थापित करने का कार्य केवल PPA के मालिक के आपके हिस्से पर विश्वास का एक निहित विवरण है।
तो, क्या होता है यदि आपका विश्वास गलत है और एक पीपीए मालिक शरारती होना चाहता है?
पीपीए में अपलोड करने के लिए, लॉन्चपैड उपयोगकर्ता के लिए एक GPG कुंजी द्वारा अद्वितीय रूप से एक पैकेज पर हस्ताक्षर किए जाने चाहिए (वास्तव में, उसी कुंजी के साथ उन्होंने आचार संहिता पर हस्ताक्षर किए हैं)। तो एक ज्ञात दुर्भावनापूर्ण पीपीए के मामले में हम बस खाते पर प्रतिबंध लगा देंगे और पीपीए को बंद कर देंगे (प्रभावित सिस्टम से अभी भी समझौता किया जाएगा, लेकिन फिर भी उस बिंदु पर उन्हें ठीक करने का कोई अच्छा तरीका नहीं है)।
कुछ हद तक लॉन्चपैड की सामाजिक विशेषताओं का उपयोग बुरे उपयोगकर्ताओं के निवारक उपाय के रूप में किया जा सकता है - किसी के पास उबंटू में योगदान करने का इतिहास है और कुछ स्थापित लॉन्चपैड कर्म, उदाहरण के लिए, एक जाल पीपीए स्थापित करने की संभावना कम है।
या अगर कोई ऐसे PPA का नियंत्रण हासिल कर लेता है जो उनका नहीं है?
खैर, यह एक खतरे के परिदृश्य से थोड़ा मुश्किल है, लेकिन यह भी कम संभावना है क्योंकि इसमें एक हमलावर को लॉन्चपैड उपयोगकर्ताओं की निजी कुंजी फ़ाइल (आमतौर पर केवल उनके कंप्यूटर पर) और साथ ही इसके लिए अनलॉक कोड (आमतौर पर एक मजबूत पासवर्ड नहीं) दोनों प्राप्त करने की आवश्यकता होती है किसी और चीज के लिए इस्तेमाल किया जाता है)। यदि ऐसा होता है, हालांकि, यह आमतौर पर किसी के लिए यह पता लगाने के लिए काफी सरल है कि उनके खाते से छेड़छाड़ की गई है (लॉन्चपैड उदाहरण के लिए उन्हें उन पैकेजों के बारे में ईमेल करेगा जो वे अपलोड नहीं कर रहे हैं), और सफाई प्रक्रिया समान होगी।
तो, संक्षेप में, PPAs दुर्भावनापूर्ण सॉफ़्टवेयर के लिए एक संभावित वेक्टर हैं, लेकिन आपके बाद आने वाले हमलावरों के लिए संभवतः बहुत आसान तरीके हैं।