StarDict transmite el portapapeles de X11 a servidores remotos

 (lwn.net)
1 puntos por GN⁺ 2025-08-13 | Aún no hay comentarios. | Compartir por WhatsApp
  • Se descubrió un grave problema de seguridad en StarDict que envía la selección de texto del usuario en entornos X11 a servidores externos mediante HTTP sin cifrar
  • El problema ocurre porque los complementos de YouDao y dict.cn están activados por defecto en la configuración predeterminada de Debian
  • Esto significa que cuando el usuario selecciona cualquier texto, se envía automáticamente al servidor, con riesgo de filtración de información sensible
  • Los mantenedores del paquete revisaron propuestas para desactivar la función y separar los complementos, pero la aplicación de una solución de fondo ha sido insuficiente
  • El problema ya se había señalado varias veces en el pasado, y vuelve a mostrar la falta de una respuesta completa y la importancia de la conciencia de seguridad

Resumen del funcionamiento de StarDict y del problema de seguridad

  • StarDict es un programa de diccionario multiplataforma con licencia GPLv3, con soporte para varios idiomas y un ecosistema de complementos
  • En la configuración predeterminada de Debian, al ejecutar StarDict, el texto seleccionado por el usuario se envía a dos servidores remotos, youdao.com y dict.cn, mediante HTTP sin cifrar
  • El problema también fue reportado en la lista de correo oss-security y en el rastreador de errores de Debian

Detalles del problema

  • Por diseño de StarDict, el código que se comunica con sitios web de diccionarios puede parecer una configuración natural, pero la función de "escaneo" está activada por defecto
    • Esto significa que cuando el usuario selecciona texto con el mouse, aparece automáticamente una ventana emergente de traducción y ese texto se envía automáticamente a servidores externos
    • El problema se vuelve grave cuando el usuario mantiene StarDict ejecutándose siempre en segundo plano

Diferencias según el entorno Linux

  • En Wayland, StarDict no puede capturar texto de otras aplicaciones, por lo que la función de escaneo no funciona y no se produce este problema de seguridad
  • El problema existe actualmente solo en el entorno X11 tradicional

Respuesta de Debian y de los desarrolladores de StarDict

  • El mantenedor del paquete de Debian, Xiao Sheng Wen, no lo consideró un problema grave y señaló que "la función de escaneo y el complemento de YouDao pueden desactivarse"
  • Sin embargo, el reportante Vincent Lefevre indicó que "las funciones relacionadas con la privacidad deben estar desactivadas por defecto"
  • Es posible informar esta función a través de la descripción del paquete, pero la descripción de stardict-plugin no menciona el uso de diccionarios en línea
  • Se han propuesto mejoras como la separación de complementos, pero no se tomaron medidas inmediatas

Comodidad de la función y preocupaciones de seguridad

  • La función de escaneo es una ventaja principal de StarDict cuando se quiere consultar rápidamente un diccionario al leer en un idioma extranjero
  • Sin embargo, es difícil que el usuario espere que esa comunicación no esté cifrada. Cualquiera en la ruta intermedia puede exponer texto sensible

Incidentes de seguridad similares en el pasado y respuesta

  • En 2009 y 2015 también se reportaron casos similares
    • 2009: desactivar los diccionarios de red se aplicó temporalmente como valor predeterminado
    • Sin embargo, el complemento YouDao agregado en 2016 ignoró esa configuración
    • El problema de 2015 recién se resolvió en 2025 mediante la eliminación del complemento
  • De este modo, se han repetido la reaparición del problema y la demora en la respuesta, junto con cambios de mantenedores y fallas de priorización

Escala de usuarios e impacto de seguridad

  • Según las estadísticas de Debian, actualmente solo unas 178 personas tienen StarDict instalado, pero considerando sistemas que no participan en esas estadísticas, muchos usuarios podrían haber estado expuestos durante años al riesgo de filtración de texto
  • Copiar contraseñas, correos sensibles o texto seleccionado mientras se edita un documento, entre otros casos, podría quedar expuesto externamente tal cual

El ecosistema open source y la agenda de seguridad

  • Una gran distribución como Debian administra muchísimos paquetes, y son frecuentes las omisiones de actualizaciones y el envejecimiento del software
  • Incluso la ley de Linus, según la cual "con suficientes ojos, todos los bugs son superficiales", solo se cumple si alguien descubre el error, lo reporta y luego un mantenedor lo reconoce como problema y lo corrige

El cambio de X11 a Wayland

  • La adopción de Wayland busca reducir este tipo de fallas de seguridad, especialmente la posibilidad de filtración de información entre aplicaciones
  • Aun así, siguen siendo un reto las incomodidades funcionales y las nuevas formas de gestionar permisos de uso

Conclusión e implicaciones

  • Preocupa la realidad de que problemas de seguridad que se descubren, diagnostican y reportan sigan sin resolverse o vuelvan a aparecer
  • Para mantener la reputación de seguridad de Linux, es indispensable que desarrolladores de open source, responsables del mantenimiento de paquetes y usuarios mantengan una conciencia constante del problema y respondan con rapidez

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.