Плагины StarDict в Debian 13 вызывают опасения по поводу конфиденциальности

Плагины StarDict в Debian 13 сливают выбранный текст X11 по протоколу HTTP в китайские службы словарей, раскрывая потенциально конфиденциальные данные.
До запуска Debian 13 осталось всего несколько дней, и, по словам разработчиков, все известные ошибки исправлены, так что он готов к запуску. Пока всё идёт хорошо. Но недавнее обсуждение предстоящего релиза Trixie вызвало некоторые опасения. Вот что происходит.
Венсан Лефевр из Национального института исследований в области цифровой науки и технологий Франции выразил серьёзную обеспокоенность: https://www.openwall.com/lists/oss-security/2025/08/04/1 по поводу потенциальной проблемы конфиденциальности, связанной с одним из приложений, включённых в финальный релиз Debian 13. О каком приложении идёт речь? StarDict: https://packages.debian.org/trixie/stardict.
Если вы никогда о нём не слышали, это совершенно нормально — к счастью, приложение не так уж популярно. Речь идёт о приложении для поиска по словарю, которое позволяет пользователям искать определения, переводы и толкования слов в различных словарных базах данных.
Он использует онлайн-серверы в качестве бэкэнда, а его пользовательский интерфейс на базе GTK отправляет ваши поисковые запросы на них. Пока что всё звучит довольно нормально, но вот тут-то и начинаются опасения.

Приложение StarDict работает на Debian 13 (Trixie).
При использовании с определенными плагинами он автоматически отправляет выбранный пользователем текст из любого приложения на базе X11 через Интернет на удаленные серверы без согласия пользователя или даже предупреждения.
Хотя сам пакет описывается просто как многоязычное приложение-словарь, он автоматически подключает пакет плагинов ( stardict-plugin
) через механизм Debian Recommends. Этот пакет плагинов включает сетевые поисковые запросы в словаре, которые запускаются при выборе в системе X11 — по сути, при любом выделенном пользователем тексте.
После срабатывания StarDict отправляет выделенный текст в открытом виде по протоколу HTTP на сторонние серверы в Китае , а именно dict.youdao.com и dict.cn. Что ещё хуже, эти запросы отправляются по незашифрованному протоколу HTTP , что делает данные видимыми для любого, кто следит за сетью — будь то в локальной сети или через взломанный маршрутизатор.
Позвольте объяснить проще. Предположим, вы работаете в сеансе X в Debian 13 и выделили текст — например, номер кредитной карты, имя пользователя, пароль или что-то ещё — для вставки в другое место. В этом случае эта информация уже незаметно пересылается на серверы в Китае, и вы даже не осознаёте этого.
Почему? Потому что StarDict, если stardict-plugin
установлен, автоматически отправляет любой выбранный вами текст на эти серверы — и опять же, по простому, незашифрованному HTTP-протоколу.
Вы можете подумать, что всё в порядке, пока не установите этот плагин. У меня для вас новости: это зависимость для GTK-фронтенда, который Debian 13 устанавливает и включает по умолчанию. Так что, даже если вы его не просили, он уже есть и тихо работает.

Пакет stardict-plugin устанавливается как обязательная зависимость для основного приложения.
Например, чтобы подтвердить свои слова, Лефевр показывает, что когда он выбирает «отношение» в каком-либо приложении, то strace
on stardict
показывает:
911565 write(16, "GET HTTP://dict.youdao.com/fsearch?q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.youdao.com\r\nConnection: close\r\n\r\n", 171) = 171 911565 write(17, "GET HTTP://dict.cn/ws.php?utf8=true&q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.cn\r\nConnection: close\r\n\r\n", 164) = 164Язык кода: JavaScript ( javascript )
В сообщении в почтовой рассылке Debian Лефевр делится своими опасениями:
Будьте осторожны со StarDict! По умолчанию, когда приложение запущено, оно отправляет всё, что пользователь выбирает (из других приложений), на китайские серверы!
Затем последовал комментарий разработчика Debian — судить об этом вам.
Да, это функция: она будет искать выбранные вами слова в локальных и онлайн-словарях, а по умолчанию — в англо-китайских словарях. Вы можете отключить эту функцию в настройках, включив опцию «Сканировать только при нажатой клавише-модификаторе» в разделе «Сканировать выделенное», или отключить сетевые плагины словарей (dict.cn и youdao.com).
Если вы используете Wayland, приложение по умолчанию будет изолировано, поэтому оно в любом случае не сможет получать выбор из других приложений.
Ожидаемый ответ Лефевра более чем разумен:
Такая функция никогда не должна была быть включена по умолчанию.
Функция? Серьёзно? Хотелось бы нам познакомиться с пользователем, который установит StarDict и сразу же пойдёт в настройки, чтобы отключить эту так называемую «функцию» — или вообще отключит сетевой доступ плагина.
Не знаю, как выразиться яснее: это совершенно неприемлемо. А когда речь идёт о Debian — проекте, известном своей приверженностью открытому исходному коду, надёжности и конфиденциальности пользователей, — честно говоря, сложно понять, как подобное вообще могло существовать.
Всё становится ещё запутаннее, когда понимаешь, что всего несколько лет назад эта же проблема была зарегистрирована как уязвимость CVE в Debian ( CVE-2009-2260 ). А теперь в Trixie она рассматривается как функция. Честно говоря, я даже не знаю, что сказать — всё это просто бессмыслица.
Наконец, в заключение стоит отметить, что такое поведение StarDict возможно только в сеансе X. Если вы используете Debian 13 с Wayland, то вы в безопасности благодаря изолированной структуре протокола. И теперь, думаю, тем, кто считает Wayland каким-то крупным технологическим заговором, навязываемым пользователям без веских на то оснований, стоит пересмотреть свою позицию.
С приближением Debian 13 мой совет прост: держитесь подальше от StarDict. Да, на дворе 2025 год, и использование такого старомодного настольного приложения довольно необычно, но всё же, кто знает. Если вам дорога ваша конфиденциальность, лучше вообще от него отказаться .
Редактор: AndreyEx