Скрипт установки каждого пакета имеет корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия вашей стороны владельца PPA.
Итак, что произойдет, если ваше доверие будет неуместным, а владелец PPA хочет быть озорным?
Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали код поведения). Поэтому в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся их исправить).
В какой-то степени социальные функции Launchpad можно использовать как часть предупредительной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушка PPA.
Или что, если кто-то получит контроль над PPA, который не принадлежит им?
Ну, это немного сложнее сценария угроз, но также менее вероятно, так как он требует, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на своем компьютере), так и код разблокировки для него (как правило, strong пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.
Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.