¿Puede otro programa en X capturar mi contraseña de root mientras la escribo en una terminal virtual?

24

Por lo general, solo instalo programas de código abierto en mi Linux Box porque no confío en las aplicaciones de código cerrado. Recientemente tuve que usar Dropbox para un proyecto universitario. Creé una cuenta de Linux separada llamada work and run (as work ) dropbox sin instalación a través de un script de python. El script también creó un símbolo en la bandeja del sistema que proporciona una GUI para algunas de las funciones de Dropbox.

El otro día tuve que hacer algo de mantenimiento, así que abrí una terminal virtual (konsole en KDE) e ingresé mi contraseña de root para su .

¿Existe alguna posibilidad de que la aplicación Dropbox haya capturado mi contraseña de root?

Yo uso Fedora 20 con KDE 4.14.3.

security  x11  xorg  keyboard 
problema oficial
fuente

Respuestas:

24

Respuesta corta: sí.

En los "viejos tiempos", era posible evitar efectivamente que cualquier otra aplicación X leyera una entrada específica al agarrarla. Si bien esto todavía se puede hacer hasta el día de hoy, la especificación del protocolo XI2 parece sugerir que esto ya no se puede hacer (consulte la descripción de Raw Events en la línea 2220). Por lo tanto, solo con X ya no está seguro, al menos no en las configuraciones simples habituales. Consulte también la discusión bajo mi respuesta a ¿Cómo dejar que un demonio solicite una contraseña (en Xsession, keyloggersafe)? y las preguntas y respuestas de AskUbuntu a las que se hace referencia allí. No hace falta decir que ningún terminal está haciendo eso, por eso las aplicaciones como OpenSSH o GnuPG vienen con sus propios ayudantes de interfaz de usuario, que agarran el teclado (aunque como se mencionó anteriormente, realmente no ayuda mucho en estos días).

Sin embargo, lo que podría hacer sería ejecutar una aplicación en un servidor X diferente, por ejemplo, un servidor X anidado como Xephyro Xnest, o uno basado en VNC Xvnc. El protocolo Wayland también debería proporcionar cierta protección contra las escuchas.

Además de lo anterior, la aplicación también podría haber intentado explotar un agujero de seguridad sin parches en su sistema y así obtener privilegios elevados. O haga algo más fácil, como poner un suy sudoenvoltorios en su camino antes que los del sistema e interceptar las contraseñas (gracias @Joshua por el comentario).

Peterph
fuente
Como, digamos, redirigiendo sudo a ~ / .evil / sudo y agarrando tu pw.
Joshua
Nunca estuvo a salvo bajo X: agarrar el dispositivo solo evita que se generen eventos de entrada, no protege contra un programa como xspysondear constantemente el teclado para obtener qué teclas se presionan en ese momento.
alanc
@alanc ¿tienes un enlace a la fuente?
Peter
@peterph para xspy? El sitio web original desapareció, pero el Archivo de Internet tiene una copia guardada en web.archive.org/web/20090207115718/http://www.acm.vt.edu/…
alanc
Ni xnest ni xephyr te protegerán ; los eventos burbujean hasta su ventana como de costumbre.
Ricitos
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.