Сценарий установки каждого пакета имеет root-доступ к вашей системе, поэтому простое добавление PPA или установка пакета из него является неявным заявлением о доверии со стороны владельца PPA.
Итак, что произойдет, если ваше доверие неуместно и владелец PPA хочет быть непослушным?
Для загрузки в PPA пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тем же ключом, с которым он подписал кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто заблокируем учетную запись и закроем PPA (уязвимые системы все равно будут скомпрометированы, но в любом случае нет никакого способа исправить их).
В некоторой степени социальные функции Launchpad могут использоваться в качестве превентивной меры для плохих пользователей - например, тот, кто имеет опыт участия в Ubuntu и некоторую известную карму в Launchpad, с меньшей вероятностью будет устанавливать ловушку PPA.
Или что, если кто-то получит контроль над PPA, который не принадлежит им?
Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как требует, чтобы злоумышленник получил как файл закрытого ключа пользователей панели запуска (как правило, только на своем компьютере), так и код разблокировки для него (как правило, надежный пароль не используется для всего остального). Однако, если это происходит, то обычно достаточно просто выяснить, что его учетная запись была взломана (например, Launchpad сообщит им по электронной почте о пакетах, которые они не загружают), и процедура очистки будет такой же.
Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, злоумышленники могут найти более простые способы, чтобы преследовать вас.