Einführung und Warnung
Die Entwickler von Pidgin haben kürzlich in ihrem Blog über ein schwerwiegendes Sicherheitsproblem berichtet. Am 6. Juli wurde das Plug-in ss-otr als Download bereitgestellt. Doch schon am 16. August kam die alarmierende Warnung vom Entwickler 0xFFFC0000. Ein Keylogger befand sich hinter dieser Erweiterung.
Funktionsweise des Keyloggers
Dieser Keylogger war ein Screen-Capturing-Tool. Hacker konnten in kurzen Zeitabständen Screenshots an ihre eigenen Server übertragen. So sahen sie exakt – welche Eingaben der Nutzer am Bildschirm machte. Mit solchen Methoden erbeuten häufig Bundestrojaner oder andere Kriminelle Log-in-Daten der Opfer.
Sofortige Maßnahmen der Entwickler
Das Plug-in wurde unmittelbar nach der Warnung entfernt. „Wir haben das Plug-in sofort von der Liste genommen und Nachforschungen angestellt“, teilen die Entwickler mit. Am 22. August bestätigte Johnny Xmas die Existenz des Keyloggers. Daraufhin wurde die Erweiterung Dritter von der offiziellen Download-Seite entfernt. Nutzer die dieses Plug-in installiert hatten, sollten es zur eigenen Sicherheit sofort deinstallieren.
Aufdeckungen und zukünftige Sicherheitsvorkehrungen
Im Juli war den Entwicklern nicht aufgefallen, dass die unbekannten Ersteller des Plug-ins nur verseuchte Binärdateien zum Herunterladen bereitstellten. „In Zukunft werden wir verlangen, dass alle Plug-ins, auf die wir verlinken, eine OSI-genehmigte Open-Source-Lizenz besitzen“, erklärten die Entwickler. Ein solches Lizenzsystem erfordert – dass die Software von Dritten gründlich überprüft wird. Dadurch soll sichergestellt werden: Die Software frei von Viren ist.
Unzureichende Deinstallation
Die bloße Deinstallation der Erweiterung ist nicht ausreichend. Oftmals gräbt sich der Keylogger tief ins Betriebssystem ein. Eine komplette Neuinstallation könnte notwendig sein. Unklar bleibt jedoch, ebenso wie viele Downloads von der Pidgin-Website stattfanden. Daher bleibt die Anzahl der betroffenen Systeme unbekannt.
Darkgate-Malware und gefälschte Plug-ins
Auf der Plattform X informierten Sicherheitsforscher von Eset über die Urheber der Darkgate-Malware. Diese hatten auf einer gefälschten Plug-in-Website weitere verseuchte Erweiterungen zum Download angeboten. Die Website jabberplugins.net ist inzwischen offline. Darunter fanden sich ebenfalls die Extensions OMEMO Pidgin Paranoia Master Password, Window Merge und HTTP File Upload. Eset verdächtigt – dass auch diese Erweiterungen möglicherweise verseucht waren.
Beliebtheit von Pidgin
Pidgin erfreut sich seit 1998 wachsender Beliebtheit. Der Instant-Messenger ermöglicht die Nutzung zahlreicher Chat-Netzwerke. Dazu zählen unter anderem Jabber/XMPP, Bonjour und IRC. Mit den verfügbaren Plug-ins erweitert sich die Nutzung weiterer Netzwerke. Auch Cyberkriminelle schätzen Pidgin sehr. Ihnen erlaubt es die sichere Kommunikation mit Ende-zu-Ende-Verschlüsselung.
Kommentare