TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
เทคโนโลยี
แอปพลิเคชัน
ซอฟต์แวร์
ช่องโหว่ศูนย์วัน

แอปพลิเคชันพจนานุกรม StarDict แอบส่งข้อมูลคลิปบอร์ดของผู้ใช้ไปยังเซิร์ฟเวอร์จีนผ่าน HTTP ที่ไม่เข้ารหัส

ทีมชุมชน BigGo
แอปพลิเคชันพจนานุกรม StarDict แอบส่งข้อมูลคลิปบอร์ดของผู้ใช้ไปยังเซิร์ฟเวอร์จีนผ่าน HTTP ที่ไม่เข้ารหัส

แอปพลิเคชันพจนานุกรมโอเพนซอร์สยอดนิยมได้แอบส่งข้อมูลคลิปบอร์ดส่วนตัวของผู้ใช้ไปยังเซิร์ฟเวอร์ระยะไกลในจีนโดยไม่มีการเปิดเผยหรือการเข้ารหัสที่เหมาะสม การค้นพบนี้ได้จุดประกายการถกเถียงอย่างรุนแรงเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยของซอฟต์แวร์และความรับผิดชอบของผู้ดูแลแพ็กเกจในลิขสิทธิ์ Linux หลัก

StarDict เครื่องมือพจนานุกรมข้ามแพลตฟอร์มที่มีอยู่ใน repositories อย่างเป็นทางการของ Debian รวมคุณสมบัติที่มีปัญหาสองอย่างเข้าด้วยกันซึ่งสร้างการละเมิดความเป็นส่วนตัวอย่างร้ายแรง ฟังก์ชันสแกนของแอปพลิเคชันจะตรวจสอบการเลือกข้อความที่ผู้ใช้ทำโดยอัตโนมัติ ในขณะที่ปลั๊กอิน YouDao ส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์พจนานุกรมจีน dict.youdao.com และ dict.cn ผ่านการเชื่อมต่อ HTTP ที่ไม่เข้ารหัส

รายละเอียดทางเทคนิค

  • เซิร์ฟเวอร์ที่ได้รับผลกระทบ: dict.youdao.com, dict.cn
  • โปรโตคอล: HTTP แบบไม่เข้ารหัส (ไม่ใช่ HTTPS)
  • ตัวกระตุ้น: ทำงานอัตโนมัติเมื่อเลือกข้อความขณะที่เปิดใช้งานฟีเจอร์สแกน
  • สถานะเริ่มต้น: เปิดใช้งานโดยค่าเริ่มต้นในการติดตั้ง Debian
  • ผู้ใช้ปัจจุบัน: ~178 การติดตั้งที่ใช้งานอยู่ (ตามการแข่งขันความนิยมของ Debian)

การตั้งค่าเริ่มต้นสร้างฝันร้ายด้านความเป็นส่วนตัว

ประเด็นที่น่ากังวลที่สุดของปัญหานี้อยู่ที่การกำหนดค่าเริ่มต้นของ StarDict เมื่อผู้ใช้ติดตั้งแพ็กเกจ StarDict หลัก Debian จะรวมแพ็กเกจ stardict-plugin โดยอัตโนมัติเนื่องจากคำแนะนำการพึ่งพา คอลเลกชันปลั๊กอินนี้ประกอบด้วยปลั๊กอิน YouDao ซึ่งเริ่มส่งข้อมูลคลิปบอร์ดทันทีโดยไม่มีความยินยอมอย่างชัดเจนจากผู้ใช้หรือคำเตือนที่ชัดเจนเกี่ยวกับกิจกรรมเครือข่าย

คุณสมบัติสแกนที่ออกแบบมาเพื่อให้การแปลทันทีของข้อความที่เน้น ทำงานอย่างต่อเนื่องในขณะที่ StarDict ทำงานในพื้นหลัง ซึ่งหมายความว่าข้อความใดๆ ที่ผู้ใช้เลือก ไม่ว่าจะเป็นรหัสผ่านจากตัวจัดการรหัสผ่าน เนื้อหาอีเมลที่ละเอียดอ่อน หรือเอกสารลับ จะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลโดยอัตโนมัติ การรวมกันนี้สร้างสิ่งที่หลายคนในชุมชนมองว่าเป็นพฤติกรรมสปายแวร์ที่ปลอมตัวเป็นคุณสมบัติที่เป็นประโยชน์

ประเภทข้อมูลที่ได้รับผลกระทบ

  • ข้อความที่เลือกจากแอปพลิเคชันใดๆ
  • รหัสผ่านที่คัดลอกจาก password manager
  • เนื้อหาอีเมลระหว่างการแก้ไข
  • ข้อความในเอกสารที่มีความละเอียดอ่อน
  • ข้อความที่ไฮไลต์ใดๆ ขณะที่ StarDict ทำงานอยู่เบื้องหลัง

การตอบสนองของผู้ดูแลจุดประกายการถกเถียง

การตอบสนองของผู้ดูแลแพ็กเกจต่อรายงานความปลอดภัยได้รับการวิพากษ์วิจารณ์อย่างรุนแรงจากชุมชน เมื่อถูกเผชิญหน้าเกี่ยวกับผลกระทบต่อความเป็นส่วนตัว ผู้ดูแลแนะนำว่าผู้ใช้สามารถปิดคุณสมบัติได้หากไม่ต้องการ และชี้ไปที่คำอธิบายแพ็กเกจว่าเป็นการเปิดเผยที่เพียงพอ

คุณสมบัติที่มีความกังวลด้านความเป็นส่วนตัวไม่ควรเปิดใช้งานโดยค่าเริ่มต้น (เว้นแต่คุณสมบัตินั้นจะเป็นวัตถุประสงค์เดียวของแพ็กเกจ และแพ็กเกจดังกล่าวจะไม่ถูกติดตั้งโดยอัตโนมัติ และแม้ในกรณีดังกล่าว ควรมีคำเตือนใหญ่ก่อน)

การตอบสนองนี้ทำให้หลายคนตั้งคำถามว่าพฤติกรรมดังกล่าวแสดงถึงเจตนาร้ายหรือความแตกต่างทางวัฒนธรรมในความคาดหวังด้านความเป็นส่วนตัว สมาชิกชุมชนบางคนสังเกตว่าแนวปฏิบัติการรวบรวมข้อมูลที่คล้ายกันเป็นเรื่องปกติในซอฟต์แวร์จีน ในขณะที่คนอื่นๆ โต้แย้งว่าคำอธิบายดังกล่าวไม่ได้เป็นข้อแก้ตัวสำหรับการขาดการเปิดเผยและการเข้ารหัสที่เหมาะสม

รูปแบบประวัติศาสตร์ของปัญหาที่คล้ายกัน

นี่ไม่ใช่ครั้งแรกที่ StarDict พบปัญหาความเป็นส่วนตัว ปัญหาที่คล้ายกันถูกรายงานในปี 2009 และ 2015 โดยมีการแก้ไขที่ดูเหมือนจะไม่ได้แก้ไขปลั๊กอินที่เปิดใช้งานเครือข่ายทั้งหมด ปลั๊กอิน YouDao ที่เพิ่มเข้ามาในปี 2016 ได้หลีกเลี่ยงตัวเลือกการกำหนดค่าก่อนหน้าที่ออกแบบมาเพื่อปิดใช้งานคุณสมบัติพจนานุกรมเครือข่าย

ลักษณะที่เกิดขึ้นซ้ำของปัญหาเหล่านี้ รวมกับทัศนคติที่ดูถูกของผู้ดูแลต่อความกังวลด้านความเป็นส่วนตัว ทำให้สมาชิกชุมชนบางคนเรียกร้องให้ลบแพ็กเกจออกจาก repositories ของ Debian ทั้งหมด คนอื่นๆ แนะนำให้แยกปลั๊กอินเครือข่ายออกเป็นแพ็กเกจแยกต่างหากพร้อมคำเตือนที่ชัดเจนเกี่ยวกับพฤติกรรมการส่งข้อมูล

ไทม์ไลน์ปัญหาความเป็นส่วนตัวของ StarDict

  • 2009: รายงานการรั่วไหลข้อมูล clipboard ครั้งแรก
  • 2015: รายงานปัญหาที่คล้ายกันอีกครั้ง
  • 2016: เพิ่ม plugin YouDao ซึ่งข้ามการแก้ไขก่อนหน้านี้
  • สิงหาคม 2024: ค้นพบและรายงานปัญหาความเป็นส่วนตัวในปัจจุบัน
  • สิงหาคม 2025: ดำเนินการแก้ไขบางส่วน (ลบ plugin dictdotcn เท่านั้น)

โซลูชันทางเทคนิคและวิธีแก้ไขชั่วคราว

ผู้ใช้ที่กังวลเกี่ยวกับความเป็นส่วนตัวมีตัวเลือกหลายอย่างในการปกป้องตนเอง วิธีที่ตรงไปตรงมาที่สุดคือการปิดใช้งานฟังก์ชันสแกนของ StarDict หรือถอนการติดตั้งแพ็กเกจ stardict-plugin ทั้งหมด ผู้ใช้ที่มีความรู้ทางเทคนิคมากขึ้นสามารถใช้เครื่องมือตรวจสอบเครือข่ายเช่น OpenSnitch เพื่อบล็อกการเชื่อมต่อที่ไม่ได้รับอนุญาตหรือรันแอปพลิเคชันในสภาพแวดล้อม sandbox

ผู้ใช้ Wayland อาจได้รับการปกป้องบางส่วน เนื่องจากโปรโตคอลการแสดงผลป้องกันไม่ให้แอปพลิเคชันเข้าถึงข้อมูลคลิปบอร์ดจากโปรแกรมอื่นโดยค่าเริ่มต้น อย่างไรก็ตาม สิ่งนี้ยังทำลายฟังก์ชันสแกนหลักของ StarDict ทำให้คุณสมบัตินี้ไร้ประโยชน์แทนที่จะทำให้ปลอดภัย

เหตุการณ์นี้เน้นคำถามที่กว้างขึ้นเกี่ยวกับแนวปฏิบัติการจัดจำหน่ายซอฟต์แวร์และความสมดุลระหว่างความสะดวกของผู้ใช้และการปกป้องความเป็นส่วนตัว ด้วยการติดตั้ง StarDict ที่ใช้งานอยู่เพียง 178 ครั้งตามสถิติความนิยมของ Debian ผลกระทบทันทีอาจจำกัด แต่แนวทางนี้ทำให้เกิดความกังวลเกี่ยวกับปัญหาที่คล้ายกันในแพ็กเกจอื่นๆ

ผลกระทบต่อความปลอดภัยโอเพนซอร์ส

กรณีนี้แสดงให้เห็นว่าแม้แต่ซอฟต์แวร์โอเพนซอร์สที่มีเจตนาดีก็สามารถสร้างความเสี่ยงด้านความเป็นส่วนตัวที่ร้ายแรงผ่านการกำหนดค่าเริ่มต้นที่ไม่ดีและการเปิดเผยที่ไม่เพียงพอ ความจริงที่ว่ารายงานหลายฉบับในช่วงกว่าทศวรรษไม่สามารถแก้ไขปัญหาได้อย่างสมบูรณ์ชี้ให้เห็นปัญหาเชิงระบบเกี่ยวกับวิธีการจัดลำดับความสำคัญและแก้ไขความกังวลด้านความปลอดภัยในโครงการซอฟต์แวร์ที่ดูแลโดยอาสาสมัคร

การถกเถียงยังแสดงให้เห็นความท้าทายที่ลิขสิทธิ์ Linux เผชิญในการสร้างสมดุลระหว่างค่าเริ่มต้นที่เป็นมิตรกับผู้ใช้และการพิจารณาความปลอดภัย ในขณะที่การติดตั้งแพ็กเกจที่แนะนำโดยอัตโนมัติสามารถเพิ่มฟังก์ชันการทำงาน แต่ก็สามารถนำความเสี่ยงด้านความเป็นส่วนตัวที่ไม่คาดคิดซึ่งผู้ใช้อาจไม่ค้นพบจนกว่าจะสายเกินไป

อ้างอิง: StarDict sends X11 clipboard to remote servers

ข่าวที่เกี่ยวข้อง