StarDict überträgt die X11-Zwischenablage an entfernte Server

• Bei StarDict wurde ein schwerwiegendes Sicherheitsproblem entdeckt: In X11-Umgebungen sendet es vom Nutzer ausgewählten Text per unverschlüsseltem HTTP an externe Server.
• Das Problem tritt auf, weil die Plugins YouDao und dict.cn in der Standardkonfiguration von Debian standardmäßig aktiviert sind.
• Das bedeutet, dass jeder vom Nutzer markierte Text automatisch an Server übertragen wird, wodurch das Risiko eines Abflusses sensibler Informationen besteht.
• Paketbetreuer prüften Vorschläge wie das Deaktivieren der Funktion und die Trennung der Plugins, doch eine grundlegende Lösung wurde nur unzureichend umgesetzt.
• Das Problem wurde bereits in der Vergangenheit mehrfach angesprochen und zeigt erneut das Fehlen einer vollständigen Reaktion sowie die Bedeutung von Sicherheitsbewusstsein.

Überblick über das Verhalten von StarDict und das Sicherheitsproblem

• StarDict ist ein plattformübergreifendes Wörterbuchprogramm unter der GPLv3-Lizenz mit Unterstützung für viele Sprachen und einem Plugin-Ökosystem.
• In der Standardkonfiguration von Debian werden beim Start von StarDict vom Nutzer markierte Texte per unverschlüsseltem HTTP an zwei entfernte Server übertragen: youdao.com und dict.cn.
• Das Problem wurde auch auf der oss-security-Mailingliste sowie im Debian-Bugtracker gemeldet.

Details des Problems

• Dass StarDict von seiner Konzeption her Code zur Kommunikation mit Wörterbuch-Websites enthält, ist naheliegend, aber die Funktion „Scan“ ist standardmäßig aktiviert.
  • Das bedeutet: Wenn der Nutzer mit der Maus Text markiert, erscheint automatisch ein Übersetzungs-Popup, und dieser Text wird automatisch an externe Server übertragen.
  • Besonders schwerwiegend ist das, wenn Nutzer StarDict ständig im Hintergrund laufen lassen.

Unterschiede je nach Linux-Umgebung

• In einer Wayland-Umgebung kann StarDict keinen Text aus anderen Anwendungen erfassen, sodass die Scan-Funktion nicht arbeitet und das Sicherheitsproblem nicht auftritt.
• Das Problem besteht derzeit nur in der klassischen X11-Umgebung.

Reaktionen von Debian und den StarDict-Entwicklern

• Der Debian-Paketbetreuer Xiao Sheng Wen sah kein großes Problem darin und erklärte, "Die Scan-Funktion und das YouDao-Plugin können deaktiviert werden".
• Der Meldende Vincent Lefevre wies jedoch darauf hin: „Datenschutzrelevante Funktionen müssen standardmäßig deaktiviert sein“.
• Zwar könnte die Funktion in der Paketbeschreibung erläutert werden, doch in der Beschreibung von stardict-plugin wird die Nutzung von Online-Wörterbüchern nicht erwähnt.
• Verbesserungen wie die Abspaltung der Plugins wurden vorgeschlagen, doch sofortige Maßnahmen blieben aus.

Komfort der Funktion und Sicherheitsbedenken

• Die Scan-Funktion ist ein wesentlicher Vorteil von StarDict, wenn man beim Lesen fremdsprachiger Texte schnell Wörter nachschlagen möchte.
• Nutzer können jedoch kaum erwarten, dass diese Kommunikation unverschlüsselt erfolgt. Dadurch besteht das Risiko, dass sensible Texte für beliebige Dritte auf dem Übertragungsweg sichtbar werden.

Frühere ähnliche Sicherheitsvorfälle und Reaktionen

• Bereits 2009 und 2015 wurden ähnliche Fälle gemeldet.
  • 2009: Die Deaktivierung von Netzwerk-Wörterbüchern wurde vorübergehend zur Standardeinstellung.
  • Das 2016 hinzugefügte YouDao-Plugin ignorierte diese Einstellung jedoch.
  • Das Problem von 2015 wurde erst 2025 durch das Entfernen des Plugins gelöst.
• So wiederholen sich Rückfälle des Problems und verzögerte Reaktionen, ebenso wie Wechsel bei den Betreuern und Schwächen bei der Priorisierung.

Nutzerzahl und Sicherheitsauswirkungen

• Laut Debian-Statistik haben derzeit nur etwa 178 Personen StarDict installiert, doch unter Berücksichtigung nicht teilnehmender Systeme könnten über Jahre hinweg viele Nutzer dem Risiko eines Textabflusses ausgesetzt gewesen sein.
• Kopierte Passwörter, sensible E-Mails oder während der Dokumentbearbeitung markierte Textstellen könnten unverändert nach außen gelangt sein.

Open-Source-Ökosystem und Sicherheitsagenda

• Große Distributionen wie Debian verwalten unzählige Pakete; dabei sind versäumte Updates und Softwarealterung häufig.
• Auch Linus’ Gesetz – „Given enough eyeballs, all bugs are shallow“ – gilt in der Praxis nur dann, wenn tatsächlich jemand den Fehler findet, meldet und ein Betreuer das Problem anerkennt und behebt.

Der Wandel von X11 zu Wayland

• Die Einführung von Wayland soll genau solche Arten von Sicherheitslücken verringern, insbesondere die Möglichkeit von Informationsabfluss zwischen Anwendungen.
• Allerdings bleiben damit verbundene funktionale Einschränkungen und neue Modelle der Rechtevergabe weiterhin Herausforderungen.

Fazit und Bedeutung

• Dass entdeckte, analysierte und gemeldete Sicherheitsprobleme weiterhin ungelöst bleiben oder erneut auftreten, ist besorgniserregend.
• Um den Sicherheitsruf von Linux zu erhalten, sind Open-Source-Entwickler, Paketbetreuer und Nutzer gleichermaßen aufgerufen, Probleme kontinuierlich wahrzunehmen und schnell zu reagieren.