So könnte er keinen Schadcode einschleusen.
Ja, ein MITM könnte nichts einschleusen. Aber der Mirrorbetreiber schon, soweit ich das verstanden habe. Normalerweise schützt einem die Signaturprüfung genau davor, aber die ist ja angeblich ebenfalls "defekt". Oder habe ich das falsch verstanden? Ich habe die technischen Details nicht alle gelesen, weil ich es ohne viel Zeit sowieso nicht nachvollziehen kann, was APT intern macht.