StarDict sends X11 clipboard to remote servers
9 months ago
- #Debian
- #privacy
- #security
- StarDict是一款采用GPLv3协议的跨平台词典软件,其存在安全漏洞会通过未加密的HTTP协议将用户选中的文本发送至远程服务器。
- 该漏洞源于默认启用的'扫描取词'功能及有道插件,该插件会连接中国词典服务dict.youdao.com和dict.cn。
- Debian的默认配置加剧了风险,因StarDict设计为后台持续运行并监控文本选中操作。
- Wayland用户不受影响,因其默认阻止应用程序截取其他窗口文本,这使得StarDict的扫描功能失效。
- Debian维护者Xiao Sheng Wen建议不需要时可禁用相关功能,但批评者认为侵犯隐私的功能不应默认开启。
- 类似漏洞在2009年和2015年就有报告,但修复措施要么临时要么不彻底,凸显持续维护的挑战。
- Debian软件包流行度统计显示当前仅178名用户安装StarDict(2009-2015年约1000名),但敏感数据泄露风险依然存在。
- 该事件折射出更广泛的Linux安全声誉问题,以及开源维护中功能性与隐私保护的平衡难题。