Setiap skrip instalasi setiap paket memiliki akses root ke sistem Anda, jadi tindakan hanya menambahkan PPA atau menginstal paket dari satu adalah pernyataan kepercayaan implisit di pihak Anda dari pemilik PPA.
Jadi, apa yang terjadi jika kepercayaan Anda salah tempat dan pemilik PPA ingin nakal?
Untuk mengunggah ke PPA, sebuah paket harus ditandatangani oleh kunci GPG yang unik untuk pengguna launchpad (memang, kunci yang sama dengan mereka menandatangani kode etik). Jadi dalam kasus PPA berbahaya yang dikenal, kami hanya akan melarang akun dan mematikan PPA (sistem yang terkena dampak masih akan dikompromikan, tapi toh tidak ada cara yang baik untuk memperbaikinya pada saat itu).
Hingga taraf tertentu fitur sosial Launchpad dapat digunakan sebagai sedikit tindakan pencegahan bagi pengguna yang buruk - seseorang yang memiliki sejarah berkontribusi pada Ubuntu dan beberapa karma Launchpad yang mapan, misalnya, kecil kemungkinannya untuk membuat perangkap PPA.
Atau bagaimana jika seseorang mendapatkan kendali atas PPA yang bukan milik mereka?
Yah, ini sedikit lebih keras dari skenario ancaman, tetapi juga lebih kecil kemungkinannya karena membutuhkan penyerang untuk mendapatkan file kunci pribadi pengguna launchpad (umumnya hanya di komputer mereka) serta kode pembuka untuknya (umumnya kata sandi yang kuat tidak digunakan untuk hal lain). Namun, jika ini terjadi, biasanya cukup mudah bagi seseorang untuk mengetahui bahwa akun mereka telah disusupi (Launchpad misalnya akan mengirim email kepada mereka tentang paket yang tidak mereka unggah), dan prosedur pembersihannya akan sama.
Jadi, singkatnya, PPA adalah vektor yang mungkin untuk perangkat lunak berbahaya, tetapi mungkin ada metode yang jauh lebih mudah bagi penyerang untuk mengejar Anda.