Le script d’installation de chaque paquet a un accès root à votre système, donc le simple fait d’ajouter un PPA ou d’installer un package à partir de celui-ci est une déclaration de confiance implicite de la part du propriétaire du PPA.
Alors, que se passe-t-il si votre confiance est mal placée et qu'un propriétaire de PPA veut être méchant?
Pour pouvoir télécharger dans un PPA, un package doit être signé par une clé GPG unique pour l'utilisateur du tableau de bord (en fait, la même clé que celle avec laquelle ils ont signé le code de conduite). Donc, dans le cas d’un PPA malveillant connu, nous nous contenterions d’interdire le compte et d’arrêter le PPA (les systèmes affectés seraient toujours compromis, mais de toute façon, ils ne seraient pas réparables).
Dans une certaine mesure, les fonctionnalités sociales de Launchpad peuvent servir de mesure préventive contre les utilisateurs malveillants - par exemple, une personne ayant déjà contribué à Ubuntu et à un karma Launchpad bien établi risque moins de piège PPA.
Ou si quelqu'un prend le contrôle d'un PPA qui n'est pas le leur?
Bien que ce soit un scénario de menace un peu plus difficile, mais aussi moins probable, car un attaquant doit obtenir à la fois le fichier de clé privée des utilisateurs du tableau de bord (généralement sur leur ordinateur) et son code de déverrouillage (généralement mot de passe fort non utilisé pour autre chose). Si cela se produit, cependant, il est généralement assez simple pour quelqu'un de comprendre que son compte a été compromis (Launchpad les enverra par exemple au sujet des paquets qu'ils ne téléchargent pas), et la procédure de nettoyage sera la même.
En résumé, les PPA sont un vecteur possible pour les logiciels malveillants, mais il existe probablement des méthodes beaucoup plus faciles pour que les attaquants vous poursuivent.