Lo script di installazione di ogni pacchetto ha accesso root al tuo sistema, quindi il semplice atto di aggiungere un PPA o installare un pacchetto da uno è una dichiarazione di fiducia implicita da parte del proprietario del PPA.
Quindi, cosa succede se la tua fiducia è fuori posto e un proprietario di PPA vuole essere cattivo?
Per caricare su un PPA, un pacchetto deve essere firmato da una chiave GPG univoca per l'utente del launchpad (in effetti, la stessa chiave con cui hanno firmato il codice di condotta). Quindi, nel caso di un noto PPA dannoso, dovremmo semplicemente vietare l'account e chiudere il PPA (i sistemi interessati sarebbero comunque compromessi, ma non c'è comunque alcun modo di risolverli a quel punto).
In una certa misura, le funzioni social di Launchpad possono essere utilizzate come misura preventiva per i cattivi utenti: qualcuno che ha una storia di contribuzione a Ubuntu e un certo karma di Launchpad, ad esempio, ha meno probabilità di creare una PPA trappola.
O cosa succede se qualcuno ottiene il controllo di un PPA che non è suo?
Bene, questo è un po 'più difficile di uno scenario di minaccia, ma anche meno probabile poiché richiede a un utente malintenzionato di ottenere sia il file della chiave privata degli utenti del launchpad (generalmente solo sul loro computer) sia il codice di sblocco per esso (generalmente una password complessa non usato per qualsiasi altra cosa). Se ciò accade, tuttavia, di solito è abbastanza semplice per qualcuno capire che il loro account è stato compromesso (ad esempio Launchpad invierà loro un'email sui pacchetti che non stanno caricando) e la procedura di pulizia sarebbe la stessa.
Quindi, in breve, i PPA sono un possibile vettore per software dannoso, ma probabilmente ci sono metodi molto più semplici per gli attaccanti che ti inseguono.