Recentemente, foi identificado um código malicioso no plugin ss-otr, utilizado em conjunto com o popular mensageiro instantâneo Pidgin. Esse plugin, projetado originalmente para fornecer criptografia Off-the-Record (OTR), foi adulterado para realizar atividades maliciosas, comprometendo a privacidade e segurança dos usuários.
O incidente veio à tona quando um desenvolvedor notou um comportamento anômalo durante a análise do código do plugin. Ao investigar, descobriu-se que a versão comprometida do ss-otr estava enviando mensagens criptografadas contendo dados sensíveis para um servidor remoto controlado por atacantes. Esse tipo de ataque pode resultar em graves violações de privacidade, uma vez que informações pessoais e conversas privadas podem ser interceptadas.
Saudações a todos. É com muito pesar que escrevo este post. Um plugin, ss-otr, foi adicionado a lista dos plugins de terceiros em 6 de julho. Em 16 de agosto recebemos um relatório de 0xFFFC0000 que o plugin continha um keylogger e compartilhava capturas de tela com partes indesejadas.
Nós silenciosamente retiramos o plugin da lista imediatamente e começamos a investigar. Em 22 de agosto Johnny Natal conseguiu confirmar que um keylogger estava presente.
Se você instalou este plugin, você vai querer desinstalá-lo imediatamente.
Passou despercebido na época que o plugin não estava fornecendo nenhum código-fonte e estava apenas fornecendo binários para download. Daqui para frente, exigiremos que todos os plugins aos quais vinculamos tenham uma Licença de código aberto aprovada pela OSI e que algum nível de diligência foi feito para verificar se o plugin é seguro para os usuários.
O Pidgin, reconhecido por sua flexibilidade e suporte a múltiplos protocolos de mensagens, é amplamente utilizado por indivíduos e organizações que priorizam a segurança nas comunicações. No entanto, a confiança no ss-otr foi severamente abalada, destacando a importância de verificar a autenticidade de plugins de terceiros e confiar apenas em fontes confiáveis.
Como medida de segurança, os desenvolvedores do Pidgin recomendaram que os usuários removam imediatamente o plugin ss-otr de seus sistemas. Além disso, eles enfatizaram a necessidade de revisar as permissões concedidas a plugins e aconselharam a adoção de soluções alternativas para a criptografia de mensagens.
A few days ago, Pidgin Instant Messenger @impidgin published a notification about a malicious plugin (ScreenShareOTR) found in a third-party plugin list. #ESETResearch investigated these plugins and confirmed that they indeed contain malicious code, which downloads and executes… pic.twitter.com/vqLV6uhqug
— ESET Research (@ESETresearch) August 26, 2024
Este incidente serve como um lembrete crucial da importância de práticas de segurança robustas, especialmente ao lidar com ferramentas de comunicação sensíveis. Os usuários devem sempre verificar a origem de plugins e extensões, garantir que estão baixando de fontes confiáveis e manter seus sistemas atualizados com as últimas correções de segurança.
Além disso, este caso específico destaca a necessidade de auditorias regulares em softwares de código aberto. Embora o código aberto permita que qualquer pessoa examine o código para possíveis vulnerabilidades, ele também abre a porta para que indivíduos mal-intencionados introduzam modificações prejudiciais. A comunidade deve permanecer vigilante e proativa na detecção e mitigação de ameaças emergentes.