Debian 13距离正式发布仅剩几天时间,据开发者称,所有已知错误均已修复,因此正式发布已准备就绪。目前为止一切顺利。但最近围绕即将发布的 Trixie 版本的讨论引发了一些警示。以下是最新进展。
法国国家数字科学技术研究所的 Vincent Lefevre对 Debian 13 最终版本中的一款应用可能存在的隐私问题表示严重担忧。这款应用就是星际译王 (StarDict )。
如果你没听说过,这很正常——谢天谢地,这款应用并不那么流行。我们说的是一款词典查询应用,它允许用户使用各种词典数据库来搜索单词的定义、翻译和解释。
它使用在线服务器作为后端,其基于 GTK 的用户界面会将您的搜索查询发送给服务器。到目前为止,这一切听起来都很正常——但事情开始变得令人担忧。
StarDict 应用程序在 Debian 13 (Trixie) 上运行。
当与某些插件一起使用时,它会自动通过互联网将用户选择的文本从任何基于 X11 的应用程序发送到远程服务器,而无需用户同意甚至无需警告。
虽然该软件包本身被简单地描述为一个多语言词典应用,但它会通过 Debian 的推荐机制自动引入一个插件包 ( stardict-plugin)。该插件包包含基于网络的词典查找功能,该功能会在系统的 X11 选择(本质上是用户高亮显示的任何文本)时触发。
一旦触发, 星际译王就会将选定的文本以明文形式通过 HTTP 发送到中国的第三方服务器,即 dict.youdao.com 和 dict.cn。更糟糕的是,这些请求是通过未加密的 HTTP 发送的,这使得任何监控网络的人——无论是在本地局域网还是通过受感染的路由器——都可以看到这些数据。
让我用更简单的术语来解释一下。假设你在 Debian 13 上运行一个 X 会话,并标记了一些文本(例如你的信用卡号、用户名、密码或其他内容),以便将其粘贴到其他地方。在这种情况下,这些信息在你毫无察觉的情况下就已经悄无声息地传输到中国的服务器了。
为什么?因为安装后,StarDict 会stardict-plugin自动将你选择的任何文本发送到这些服务器——而且,它通过纯文本、未加密的 HTTP 进行发送。
现在,您可能认为只要不安装该插件就安全了。但我有个好消息要告诉您:它是 GTK 前端的依赖项,Debian 13 默认安装并启用了该插件。所以,即使您从未要求安装它,它也已经在那里,默默地运行着。
stardict-plugin 包作为主应用程序的强制依赖项安装。
例如,为了证实他的说法,Lefevre 指出,当他在某些应用中选择“关系”时,会strace出现stardict:
911565 write(16, "GET HTTP://dict.youdao.com/fsearch?q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.youdao.com\r\nConnection: close\r\n\r\n", 171) = 171
911565 write(17, "GET HTTP://dict.cn/ws.php?utf8=true&q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.cn\r\nConnection: close\r\n\r\n", 164) = 164代码语言: JavaScript (javascript )在给 Debian 邮件列表的一条消息中,Lefevre 分享了他的担忧:
小心使用星际译王!默认情况下,应用程序运行时,它会将用户从其他应用程序选择的内容发送到中国服务器!
随后一位 Debian 开发人员发表了评论——我让你来判断。
是的,这是一个功能:它会在本地和在线词典中查找你的选择,默认情况下会搜索英汉词典。你可以在设置中禁用此功能,方法是在“扫描选择”下启用“仅在按下修饰键时扫描”,或者禁用网络词典插件(dict.cn 和有道词典)。
如果您使用 Wayland,应用程序将默认被沙盒化,因此它无论如何都无法从其他应用程序获取选择。
Lefevre 的预期反应是合理的:
默认情况下,这样的功能根本不应该启用。
功能?真的吗?我真想见见那些安装完星际译王后,立刻去设置里关掉这个所谓“功能”的用户——或者干脆彻底禁用插件的网络访问。
我不知道该如何更直白地表达:这绝对是不可接受的。而且,当我们谈论 Debian——一个以致力于开源、可靠性和用户隐私而闻名的项目——时,说实话,很难理解这样的事情是如何发生的。
更令人困惑的是,就在几年前,这个问题还被报告为 Debian 中的 CVE 漏洞 ( CVE-2009-2260 )。但现在,在 Trixie 中,它却被当作一项功能。说实话,我都不知道该说什么了——这整件事根本说不通。
最后,总结一下,值得指出的是,StarDict 的这种行为只能在 X 会话中发生。如果您运行的是带有 Wayland 的 Debian 13,那么由于该协议的沙盒设计,您是安全的。现在,我想那些认为 Wayland 是某种无缘无故强加给用户的大型科技阴谋的人可能需要重新考虑一下了。
Debian 13 即将发布,我的建议很简单:远离星际译王 (StarDict)。没错,现在已经是 2025 年了,使用这种老式桌面应用已经很不寻常了——但谁知道呢。如果你在乎自己的隐私,最好还是完全避免使用它。
