すべてのパッケージのインストールスクリプトはシステムへのルートアクセス権を持っているため、PPAを追加したり、PPAからパッケージをインストールしたりするだけの行為は、PPA所有者側の暗黙の信頼宣言です。
それで、あなたの信頼が誤って置かれ、PPA所有者がいたずらになりたい場合はどうなりますか?
PPAにアップロードするには、ランチパッドユーザーに固有のGPGキー(実際、行動規範に署名したのと同じキー)でパッケージに署名する必要があります。したがって、既知の悪意のあるPPAの場合、アカウントを単に禁止し、PPAをシャットダウンします(影響を受けるシステムは依然として侵害されますが、とにかくそれらを修正する良い方法はありません)。
ある程度、Launchpadのソーシャル機能は、悪意のあるユーザーの少しの予防手段として使用できます。たとえば、Ubuntuに貢献した歴史があり、Launchpadカルマを確立した人は、トラップPPAを設定する可能性が低くなります。
または、誰かが自分のものではないPPAの制御を取得した場合はどうなりますか?
まあ、これは脅威シナリオでは少し難しいですが、攻撃者がランチパッドユーザーの秘密キーファイル(通常はコンピューター上のみ)とロック解除コード(通常は強力なパスワードではなく、両方を取得する必要があるため)その他に使用されます)。ただし、これが発生した場合、通常、誰かが自分のアカウントが侵害されていることを把握するのはかなり簡単です(たとえば、Launchpadはアップロードしていないパッケージについてメールで通知します)。クリーンアップ手順は同じです。
つまり、要するに、PPAは悪意のあるソフトウェアのベクトルになる可能性がありますが、攻撃者があなたの後を追いかけるためのはるかに簡単な方法がおそらくあるでしょう。