Eclipseセキュリティ情報
以前、Mac環境のEclipseの日本語化に挑戦してみた。(その時の記事はこちら→ 4.7 Oxygen編 4.6 Neon編 4.5 Mars編 )
つい最近、Windows環境にもPleiades導入済のEclipseを導入しようとしたら、マルウェアに関する注意が出ていたので注意喚起。
内容は、Eclipseのある有名なプラグインにマルウェアと思しき挙動とコードが確認された、というもの。
対象
MergeDoc Projectのページ(Pleiadesの配布サイト)のEclipse 4.7 Oxygenのダウンロードページ(下記画像参照)や、そこからリンクが張られているこちらのQiitaの記事によると、該当のプラグインは【Eclipse Class Decompiler】というプラグインの模様。すでにEclipse マーケットプレイスからは強制削除されているとのこと。
MergeDoc Projectのページを見る限り、Pleiades All in One 導入済のEclipse 4.7(Oxygen)ではこのプラグインを使っていたと思われる(現在はEnhanced Class Decompilerという、別のプラグインに変更済み)。
画像の赤枠内にも書いてある通り、Pleiades All in Oneのバージョンが4.7.0.v20170628 または 4.7.1a.v20171011の場合、問題のプラグインを使っていることになります。
該当のバージョンのPleiades All in Oneを使用している場合、dropins の EclipseClassDecompiler ディレクトリを削除するかか、Pleiades All in One を 4.7.1a.v20171012 以降にバージョンアップすることが強く推奨されています。
挙動
Qiitaの記事によると、該当のプラグインは以下の挙動をしている様子。※以下の情報は私の主観で要約されているので悪しからず。
・ユーザ情報の送信
・環境変数の送信
・一定回数動作する毎に広告をクリック
しかも、GitHubに公開されているソースコードにはそんなソースは書かれておらず、配布されているバイナリにだけ混ぜてるらしい。さらに、プルリクエストは無視されているとのこと。非常にタチが悪い※筆者の主観です。
※詳細はQiitaの記事を参照ください。
まとめ
Qiitaの記事が投稿されたのが10月12日と言うことを考えると、このプラグインは比較的最近までPleiades All in Oneに同梱されていたのではないかと推測されます。
日本でEclipseを使用する場合、Pleiades All in Oneを利用している人が多いと思います。ご自身の環境をご確認いただき、プラグインの変更やPleiades All in Oneの更新を強くお勧めします。
筆者のおすすめ記事
MacにEclipse 4.7 Oxygenを導入してみた記事はこちらからどうぞ
java silver向けの練習問題に挑戦したい方はこちらからどうぞ
java 8 の練習問題に挑戦したい方はこちらからどうぞ
とってもわかりやすいjavaシリーズはこちらからどうぞ
