Pidgin: открытый код и скрытая угроза в одном плагине
Пользователи даже не подозревали, что их действия отслеживались в реальном времени.
В сообществе пользователей мультипротокольного мессенджера Pidgin возникла тревожная ситуация: в список сторонних плагинов был добавлен вредоносный компонент. Плагин под названием «ss-otr» появился в списке доступных для скачивания 6 июля и только 16 августа от пользователя с ником «0xFFFC0000» поступило сообщение, что он обнаружил в плагине встроенный кейлоггер — программу, фиксирующий нажатия клавиш. Более того, стало известно, что плагин также отправлял скриншоты экрана третьим лицам.
После получения разработчиками этой информации плагин был незамедлительно удалён из списка доступных для скачивания, а команда Pidgin начала собственное расследование. 22 августа специалист по безопасности @johnnyxmas подтвердил присутствие кейлоггера в плагине. Тем, кто установил «ss-otr», рекомендуется немедленно удалить его, чтобы избежать утечек личной информации.
Также стало известно, что при добавлении в список для скачивания злоумышленник не предоставил исходный код плагина, а пользователям предлагались для загрузки только бинарные файлы. Это является очевидной недоработкой со стороны платформы. В дальнейшем Pidgin планирует ужесточить требования к модерации плагинов: все сторонние плагины должны будут обладать лицензией с одобрением Open Source Initiative и проходить проверки на безопасность.
Pidgin — это программа для обмена сообщениями, которая позволяет одновременно использовать несколько разных протоколов коммуникации в едином интерфейсе. Она поддерживает работу с такими сетями, как XMPP, IRC, Gadu-Gadu и другими. Дополнительно функциональность программы можно расширять с помощью вышеупомянутых плагинов.
Pidgin является бесплатной программой и не содержит рекламы. Весь исходный код программы открыт и доступен для модификаций под лицензией GNU General Public License, что позволяет пользователям адаптировать её под свои нужды и делиться улучшениями с сообществом. Pidgin развивается благодаря вкладу пользователей, а регулярно выходящие обновления включают исправления найденных проблем и новые функции, предложенные сообществом.