StarDict sends X11 clipboard to remote servers 🔥 Горячее 💬 Длинная дискуссия
StarDict — кроссплатформенный словарь GPLv3 — при работе в X11 по умолчанию пересылает выделенный пользователем текст по нешифрованному HTTP на два китайских сервиса: YouDao и dict.cn.
Проблема обнаружена Винсентом Лефевром 4 августа 2025 года при подготовке к Debian 13. Пакет stardict-plugin, который ставится автоматически, содержит плагин YouDao. Функция «scan» (включена по умолчанию) отслеживает выделение мышью и отправляет текст на серверы без шифрования.
На Wayland уязвимости нет: система блокирует чтение чужих выделений, но и «scan» не работает.
Сопровождающий Debian Сяо Шэн Вэнь считает поведение допустимым: функции можно отключить. Лефевр возражает: конфиденциальные возможности не должны быть активны по умолчанию.
Описание пакета упоминает «scan», но не говорит, что YouDao — онлайн-сервис. Сяо предложил вынести сетевые плагины в отдельный пакет, но сомневается в необходимости.
Аналогичные проблемы сообщались в 2009 и 2015 годах; тогда отключили сетевые словари по умолчанию, но плагин YouDao (добавлен в 2016) игнорирует эту настройку.
Комментарии (285)
- Пакет StarDict по умолчанию отправляет выделенный текст на китайские серверы по нешифрованному HTTP.
- Мейнтейнер Debian отмахнулся: «в описании пакета всё написано, RTFM».
- Пользователи возмущены: словарь можно было сделать полностью локальным (≈ 400 МБ), а поведение — опциональным.
- Уязвимость годами игнорировалась, баг-репорты закрывались как «небаг».
- Сообщество требует исключить StarDict из репозиториев и пересмотреть политику мейнтейнеров.