В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью – в конфигурации по умолчанию приложение отправляет содержимое буфера обмена на внешние серверы. Достаточно в любом приложении выделить отрывок текста и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружений на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
Сопровождающий пакет StarDict в Debian ответил, что подобное поведение является штатным. По умолчанию в StarDict включён режим автоматического поиска в словарях выделенного текста и активированы как локальные, так и внешние словари. Серверы dict.youdao.com и dict.cn предоставляют англо-китайские словари, подключаемые через плагины, по умолчанию включаемые при установке пакета stardict-plugin, который является рекомендованной зависимостью для пакета stardict-gtk. Тем, кого подобное поведение не устраивает, рекомендовано в настройках отключить сетевые словари или функцию автоматического поиска при выделении.
Обративший внимание на проблему пользователь возразил, что подобное поведение не при каких условиях не должно активироваться по умолчанию так как она приводит к утечке информации. Пользователь может выделять в приложениях текст с конфиденциальным содержимым, например, паролями и личными данными. При этом информация не только потенциально может оседать в логах на серверах dict.youdao.com и dict.cn, но и становится доступна для перехвата трафика из-за неиспользования HTTPS.
911565 write(16, “GET HTTP://dict.youdao.com/fsearch?q=выделенный текст HTTP/1.0rnUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)rnAccept: */*rnHost: dict.youdao.comrnConnection: closernrn”, 171) = 171
911565 write(17, “GET HTTP://dict.cn/ws.php?utf8=true&q=выделенный текст HTTP/1.0rnUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)rnAccept: */*rnHost: dict.cnrnConnection: closernrn”, 164) = 164
Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. Теперь данная функциональность опять возвращена.