Eclipse Foundation entfernt potenzielles Adware-Plug-in aus dem Marketplace

Die Erweiterung namens Eclipse Class Decompiler enthält Binärcode, der sich für Adware verwenden lässt und potenziell Dateien in Eclipse Workspaces herunterladen kann. Wer das Tool installiert hat, sollte es entfernen.

 –  16 Kommentare
Eclipse Foundation entfernt potenzielles Adware-Plug-in aus dem Marketplace

Vergangene Woche hatte ein Entwickler in seinem Blog darüber berichtet, wie er verdächtiges Verhalten in dem Eclipse-Plug-in Eclipse Class Decompiler entdeckt hat. Aufgefallen waren ihm die Kommentare, die unter anderem berichteten, dass das Tool "nach Hause telefoniert" und dabei sensible Informationen wie Nutzernamen und Ordnerstrukturen übermittelt.

Eine genauere Untersuchung innerhalb einer virtuellen Maschine mit einem anderen Decompiler legte dann verdächtige Methoden offen. So stieß er unter anderem auf solche, die HTTP-Verbindungen schließen, was kaum in den Aufgabenbereich eines Decompilers gehört. Offensichtlich jenseits des nützlichen Einsatzes stehen die gefundenen Funktionen zum Öffnen von URLs in einem externen Browser und das anschließenden Setzen einer Variable mit dem sprechenden Namen adclick.count. Im weiteren Verlauf des Blogbeitrags erläutert der Nutzer das Verhalten des Plug-ins und gibt dabei nebenbei einen interessanten Einblick in Methoden des Revers Engineerings.

Die Funktionen haben wenig mit einem Decompiler zu tun und deuten eindeutig auf Adware hin.

Das Eclipse-Team konnte das Verhalten des Plug-ins nachvollziehen und hat es aus dem Marketplace entfernt. Da der Eclipse Class Decompiler zu den beliebteren Plug-ins gehört, dürften viele Nutzer ihn installiert haben. Ein Screenshot im obigen Blogbeitrag zeigt es an Position 14 der am meisten heruntergeladenen Plug-ins. Das Eclipse-Team rät in einer Mitteilung dringend dazu, das Plug-in zu deinstallieren. Das geschieht über Help | About Eclipse | Installation Details. Anschließend wählen die Nutzer das entsprechende Plug-in aus und wählen Uninstall. (rme)