La secuencia de comandos de instalación de cada paquete tiene acceso raíz a su sistema, por lo que el simple acto de agregar un PPA o instalar un paquete desde uno es una declaración implícita de confianza de su parte del propietario del PPA.
Entonces, ¿qué sucede si su confianza está fuera de lugar y el propietario de un PPA quiere ser travieso?
Para cargar a un PPA, un paquete debe estar firmado por una clave GPG exclusiva del usuario de la plataforma de lanzamiento (de hecho, la misma clave con la que firmaron el código de conducta). Entonces, en el caso de un PPA malicioso conocido, simplemente prohibiríamos la cuenta y cerraríamos el PPA (los sistemas afectados aún estarían comprometidos, pero de todos modos no hay una buena manera de solucionarlos).
Hasta cierto punto, las características sociales de Launchpad se pueden usar como una medida preventiva de malos usuarios: alguien que tiene un historial de contribución a Ubuntu y algún karma establecido de Launchpad, por ejemplo, es menos probable que establezca un PPA trampa.
¿O qué pasa si alguien obtiene el control de un PPA que no es suyo?
Bueno, este es un escenario de amenaza un poco más difícil, pero también menos probable ya que requiere que un atacante obtenga tanto el archivo de clave privada de los usuarios de la plataforma de lanzamiento (generalmente solo en su computadora) como el código de desbloqueo (generalmente una contraseña segura no usado para cualquier otra cosa). Sin embargo, si esto sucede, generalmente es bastante simple para alguien darse cuenta de que su cuenta se ha visto comprometida (Launchpad, por ejemplo, les enviará un correo electrónico sobre los paquetes que no están cargando), y el procedimiento de limpieza sería el mismo.
Entonces, en resumen, los PPA son un posible vector para software malicioso, pero probablemente hay métodos mucho más fáciles para que los atacantes te persigan.