Плагины StarDict в Debian 13 вызывают опасения по поводу конфиденциальности

06.08.2025
Плагины StarDict в Debian 13 вызывают опасения по поводу конфиденциальности

Плагины StarDict в Debian 13 сливают выбранный текст X11 по протоколу HTTP в китайские службы словарей, раскрывая потенциально конфиденциальные данные.

До запуска Debian 13 осталось всего несколько дней, и, по словам разработчиков, все известные ошибки исправлены, так что он готов к запуску. Пока всё идёт хорошо. Но недавнее обсуждение предстоящего релиза Trixie вызвало некоторые опасения. Вот что происходит.

Венсан Лефевр из Национального института исследований в области цифровой науки и технологий Франции выразил серьёзную обеспокоенность: https://www.openwall.com/lists/oss-security/2025/08/04/1 по поводу потенциальной проблемы конфиденциальности, связанной с одним из приложений, включённых в финальный релиз Debian 13. О каком приложении идёт речь? StarDict: https://packages.debian.org/trixie/stardict.

Если вы никогда о нём не слышали, это совершенно нормально — к счастью, приложение не так уж популярно. Речь идёт о приложении для поиска по словарю, которое позволяет пользователям искать определения, переводы и толкования слов в различных словарных базах данных.

Он использует онлайн-серверы в качестве бэкэнда, а его пользовательский интерфейс на базе GTK отправляет ваши поисковые запросы на них. Пока что всё звучит довольно нормально, но вот тут-то и начинаются опасения.

Приложение StarDict работает на Debian 13 (Trixie).

Приложение StarDict работает на Debian 13 (Trixie).

 

При использовании с определенными плагинами он автоматически отправляет выбранный пользователем текст из любого приложения на базе X11 через Интернет на удаленные серверы без согласия пользователя или даже предупреждения.

Читать  Вышел Tails 6.18 с мостами WebTunnel и обновленным браузером Tor

Хотя сам пакет описывается просто как многоязычное приложение-словарь, он автоматически подключает пакет плагинов ( stardict-plugin) через механизм Debian Recommends. Этот пакет плагинов включает сетевые поисковые запросы в словаре, которые запускаются при выборе в системе X11 — по сути, при любом выделенном пользователем тексте.

После срабатывания  StarDict отправляет выделенный текст в открытом виде по протоколу HTTP на сторонние серверы в Китае , а именно dict.youdao.com и dict.cn. Что ещё хуже, эти запросы отправляются по незашифрованному протоколу HTTP , что делает данные видимыми для любого, кто следит за сетью — будь то в локальной сети или через взломанный маршрутизатор.

Позвольте объяснить проще. Предположим, вы работаете в сеансе X в Debian 13 и выделили текст — например, номер кредитной карты, имя пользователя, пароль или что-то ещё — для вставки в другое место. В этом случае эта информация уже незаметно пересылается на серверы в Китае, и вы даже не осознаёте этого.

Почему? Потому что StarDict, если stardict-pluginустановлен, автоматически отправляет любой выбранный вами текст на эти серверы — и опять же, по простому, незашифрованному HTTP-протоколу.

Вы можете подумать, что всё в порядке, пока не установите этот плагин. У меня для вас новости: это зависимость для GTK-фронтенда, который Debian 13 устанавливает и включает по умолчанию. Так что, даже если вы его не просили, он уже есть и тихо работает.

Читать  Duck.ai уже позволяет настраивать ответы ИИ

Пакет stardict-plugin устанавливается как обязательная зависимость для основного приложения.

Пакет stardict-plugin устанавливается как обязательная зависимость для основного приложения.

 

Например, чтобы подтвердить свои слова, Лефевр показывает, что когда он выбирает «отношение» в каком-либо приложении, то straceon stardictпоказывает:

911565 write(16, "GET HTTP://dict.youdao.com/fsearch?q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.youdao.com\r\nConnection: close\r\n\r\n", 171) = 171
911565 write(17, "GET HTTP://dict.cn/ws.php?utf8=true&q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.cn\r\nConnection: close\r\n\r\n", 164) = 164Язык кода:  JavaScript  ( javascript )

 

В сообщении в почтовой рассылке Debian Лефевр делится своими опасениями:

Будьте осторожны со StarDict! По умолчанию, когда приложение запущено, оно отправляет всё, что пользователь выбирает (из других приложений), на китайские серверы!

 

Затем последовал комментарий разработчика Debian — судить об этом вам.

Да, это функция: она будет искать выбранные вами слова в локальных и онлайн-словарях, а по умолчанию — в англо-китайских словарях. Вы можете отключить эту функцию в настройках, включив опцию «Сканировать только при нажатой клавише-модификаторе» в разделе «Сканировать выделенное», или отключить сетевые плагины словарей (dict.cn и youdao.com).

Если вы используете Wayland, приложение по умолчанию будет изолировано, поэтому оно в любом случае не сможет получать выбор из других приложений.

 

Ожидаемый ответ Лефевра более чем разумен:

Такая функция никогда не должна была быть включена по умолчанию.

 

Функция? Серьёзно? Хотелось бы нам познакомиться с пользователем, который установит StarDict и сразу же пойдёт в настройки, чтобы отключить эту так называемую «функцию» — или вообще отключит сетевой доступ плагина.

Читать  Tails 6.9 Теперь доступна с обновлениями Tor и Thunderbird

Не знаю, как выразиться яснее: это совершенно неприемлемо. А когда речь идёт о Debian — проекте, известном своей приверженностью открытому исходному коду, надёжности и конфиденциальности пользователей, — честно говоря, сложно понять, как подобное вообще могло существовать.

Всё становится ещё запутаннее, когда понимаешь, что всего несколько лет назад эта же проблема была зарегистрирована как уязвимость CVE в Debian ( CVE-2009-2260 ). А теперь в Trixie она рассматривается как функция. Честно говоря, я даже не знаю, что сказать — всё это просто бессмыслица.

Наконец, в заключение стоит отметить, что такое поведение StarDict возможно только в сеансе X. Если вы используете Debian 13 с Wayland, то вы в безопасности благодаря изолированной структуре протокола. И теперь, думаю, тем, кто считает Wayland каким-то крупным технологическим заговором, навязываемым пользователям без веских на то оснований, стоит пересмотреть свою позицию.

С приближением Debian 13 мой совет прост: держитесь подальше от StarDict. Да, на дворе 2025 год, и использование такого старомодного настольного приложения довольно необычно, но всё же, кто знает. Если вам дорога ваша конфиденциальность, лучше вообще от него отказаться .

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Это может быть вам интересно


Загрузка...

Спасибо!

Теперь редакторы в курсе.

Прокрутить страницу до начала