サポート » プラグイン » Twitter Poster プラグインは危険!

  • wokamoto

    (@wokamoto)


    WordPress Plugins Directory に登録されている 「Twitter Poster」 プラグイン (
    http://wordpress.org/extend/plugins/twitter-poster/ ) は危険なので使用しないほうがいいです。

    プラグインの行頭で eval(base64_decode(...)) しているのですが、この中に [ 72.9.228.239 ] と言うサーバに対してリクエストしているコードが隠されています。
    このプラグインが有効になっていると新規投稿した際に、上記サーバから取ってきた情報を記事内に勝手に埋め込みます。

    ソースを、ざっと眺めた限りはそれ以上の悪さ(これだけでも相当の悪さですが)をしていないようですが、この手法でアカウント・パスワードなどを特定のサーバに送信するコードを、プラグイン内に隠して埋め込んでおくことも可能です。
    このプラグインのように意味も無く eval(base64_decode(...)) しているプラグインは危険ですので、使用しないほうが懸命です。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • モデレーター IKEDA Yuriko

    (@lilyfan)

    プラグインの行頭で eval(base64_decode(…)) しているのですが、この中に [ 72.9.228.239 ] と言うサーバに対してリクエストしているコードが隠されています。

    情報ありがとうございます。こういう危険プラグインの情報は重要ですね 😉

    さっそく英語フォーラムでも「スパムリンクが挿入された」とか苦情が出ていますね (プラグインの紹介ページ右下 See what others are saying… 参照)。

    公式プラグインディレクトリーの登録申請時にはコードは一切提出しない、というのがある意味問題ですね。「It can’t do anything illegal, or be morally offensive (that’s subjective, we know).」というルールはあるんですが、違反しているプラグインをチクる窓口はないようで……。(英語フォーラムを使うしかない??)

    プラグインやテーマの中身を見て、この手のコードがあれば報告するようなプラグイン (セキュリティースキャナーの類い) はあるので、それを使ってみるのは手ですね。

    Etsuko

    (@rgblog)

    今、本家フォーラムで確認しました。
    このプラグインの作者。かなり開き直ってると思うのですが…

    作者曰く、プラグイン詳細にそう書いてるあるし、このブラグイン開発サポートの将来のために、スポンサーリンクを挿入するようになってると。

    確かにそこまで確認しなかった自分もあれなんですが、でも、倫理的にどうなんでしょう。GNU下のリリースだからって、スパム広告挿入は逆に利用者が遠ざかりますよね。こういうのは、やっぱり一利用者として避けたいです。

    トピック投稿者 wokamoto

    (@wokamoto)

    作者曰く、プラグイン詳細にそう書いてるあるし、このブラグイン開発サポートの将来のために、スポンサーリンクを挿入するようになってると。

    ただ、これってサーバから流すスポンサーリンクの中に危険な JavaScript コードでも仕込まれたら、目も当てられないことになりますからね。
    わざわざ base64 エンコードして、作者の言う「スポンサーリンクを挿入」するコードを隠してるのは悪質ですね。
    どんな危険なコードが組み込まれているか、知れたものではありませんから。

    モデレーター IKEDA Yuriko

    (@lilyfan)

    スポンサードリンク (飲み物にあらず) を挿入すること自体も是非が問われると思いますが、仮に挿入することが OK としても、コードにはっきり分かるように挿入すべきですよね。

    おそらく、作者としては勝手に削除されないようにするという目的があるのだと思いますが、それは「利用者が自由に改変できる」というオープンソースソフトウェアの理念に反しています。オープンソース、とくに GPL は「ソフトウェアそのものが自由である (==作者に縛られない)」ことを目的としていますから、作者によって改変をやりにくくするようなコーディングは、GPL に (倫理的に) 矛盾していると思います (法的には反しないでしょうが)。

    また、前述の通り、公式プラグインディレクトリーのルール (?) である「It can’t do anything illegal, or be morally offensive (that’s subjective, we know).」にも抵触すると思われます。

    これは明確に、公式プラグインディレクトリーからの削除を管理者に要請すべきですね。時間をみつけて、本家フォーラムの当該トピックに書いてみたり、管理者 (窓口はどこ?) に通知すべきだと思います。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • トピック「Twitter Poster プラグインは危険!」には新たに返信することはできません。