Debian 13 “Trixie” è ormai prossima al lancio, e secondo gli sviluppatori, tutti i bug noti sono stati risolti, rendendola pronta per il rilascio. Tuttavia, una recente discussione, ha sollevato alcune preoccupazioni. Vincent Lefevre, ricercatore presso l’istituto nazionale francese per la ricerca in scienza e tecnologia digitale, ha espresso serie preoccupazioni riguardo a un potenziale problema di privacy legato a una delle applicazioni incluse nella versione finale di Debian 13. L’applicazione in questione è StarDict.
StarDict è un’applicazione per la consultazione di dizionari che consente agli utenti di cercare definizioni, traduzioni e spiegazioni di parole utilizzando vari database di dizionari. Utilizza server online come backend, e la sua interfaccia grafica, basata su GTK, invia le query di ricerca a questi server. Fin qui, tutto sembra funzionare come ci si aspetterebbe, ma è proprio a questo punto che iniziano a sorgere alcune preoccupazioni.
Problemi di Privacy con i Plugin di StarDict in Debian 13
Quando viene utilizzato con determinati plugin, StarDict intercetta automaticamente il testo selezionato dall’utente in qualsiasi applicazione grafica basata su X11 e lo invia a server remoti tramite Internet, senza fornire alcun avviso né richiedere il consenso. Sebbene il pacchetto stesso sia descritto semplicemente come un’applicazione per dizionari multilingue, esso installa automaticamente un pacchetto di plugin (stardict-plugin) tramite il meccanismo di raccomandazione di Debian.
Il meccanismo di raccomandazione di Debian è un sistema che suggerisce l’installazione di pacchetti aggiuntivi che potrebbero essere utili o necessari per il funzionamento ottimale di un’applicazione. Questi pacchetti non sono strettamente necessari per il funzionamento base del software, ma possono aggiungere funzionalità o migliorare l’esperienza utente. In questo caso, però, il pacchetto di plugin include funzioni di ricerca nei dizionari online che si attivano automaticamente quando l’utente seleziona del testo in qualsiasi applicazione grafica basata su X11, cioè ogni volta che si evidenzia del testo con il mouse anche per un semplice copia/incolla.
Una volta attivato, StarDict invia il testo selezionato in chiaro tramite HTTP a server di terze parti in Cina, in particolare dict.youdao.com e dict.cn. Peggio ancora, queste richieste vengono effettuate tramite HTTP non crittografato, rendendo i dati visibili a chiunque monitori la rete, sia su una LAN locale che tramite un router compromesso.
Wayland è immune a questo tipo di comportamento, poiché la sua architettura di sicurezza, a differenza di quella di X11, non consente la condivisione implicita della selezione primaria tra applicazioni. Questo impedisce a software come StarDict di accedere automaticamente al testo evidenziato dall’utente in un’altra applicazione.
Spiegazione del Problema
Immagina di essere in una sessione X su Debian 13 e di aver selezionato del testo, come il numero della tua carta di credito, il tuo nome utente, la tua password o qualsiasi altra informazione sensibile, con l’intenzione di incollarlo da qualche parte. In questo scenario, queste informazioni vengono inviate silenziosamente a server situati in Cina senza che tu te ne renda conto.
Questo comportamento si verifica perché StarDict, con il plugin stardict-plugin installato, è configurato per inviare automaticamente qualsiasi testo selezionato a questi server remoti. Inoltre, questa operazione avviene tramite HTTP in chiaro, il che significa che i dati non sono crittografati e possono essere intercettati durante il transito.
Potresti pensare di essere al sicuro finché non installi esplicitamente quel plugin. Tuttavia, è importante notare che il plugin stardict-plugin è una dipendenza obbligatoria per il frontend GTK di StarDict. Questo significa che Debian 13 lo installa e lo abilita di default. Di conseguenza, anche se non hai mai richiesto esplicitamente l’installazione di questo plugin, esso è già presente nel tuo sistema e opera silenziosamente in background.
Risposte e Reazioni
In un messaggio alla mailing list di Debian, Lefevre condivide le sue preoccupazioni:
Be careful with StarDict! By default, when the application is running, it sends whatever the user selects (from other applications) to Chinese servers!
Fate attenzione con StarDict! Di default, quando l’applicazione è in esecuzione, invia qualsiasi cosa l’utente selezioni (da altre applicazioni) a server cinesi!
Un commento da parte di uno sviluppatore di Debian è seguito alla segnalazione:
Yes, that’s a feature: it will lookup your selections in local and online dictionaries, and by default it searches English-Chinese dictionaries. You can disable it in the settings by enabling “Only scan while the modifier key is being pressed” under “Scan Selection”, or disable the network dictionary plugins (dict.cn and youdao.com).
If you use Wayland, application will be sandboxed by default, so it won’t be able to get selections from other apps anyway.Sì, è una funzionalità: cercherà le tue selezioni nei dizionari locali e online, e di default cerca nei dizionari inglese-cinese. Puoi disabilitarla nelle impostazioni abilitando “Scansiona solo mentre il tasto modificatore è premuto” sotto “Scansione Selezione”, o disabilitare i plugin dei dizionari di rete (dict.cn e youdao.com). Se usi Wayland, l’applicazione sarà in sandbox di default, quindi non potrà ottenere le selezioni da altre app comunque.
La risposta attesa di Lefevre è più che ragionevole:
Such a feature should have never been enabled by default.
Una tale funzionalità non avrebbe mai dovuto essere abilitata di default.
La situazione si fa ancora più confusa se si considera che questo stesso problema era stato segnalato come vulnerabilità CVE in Debian già nel 2009 (CVE-2009-2260). Ne è passato del tempo, e nessuno ha evidentemente fatto nulla: oggi, in Debian 13, viene trattato come una semplice funzionalità.
Considerazioni Finali
Questo comportamento di StarDict può verificarsi solo in ambienti basati su X11. Se stai utilizzando Debian 13 con Wayland, puoi stare tranquillo: il design sandbox del protocollo impedisce lo scambio diretto di dati tra applicazioni, proteggendo la tua privacy.
A questo punto, chi considera Wayland una “cospirazione tecnologica” imposta agli utenti potrebbe voler rivedere quella posizione.
Con il rilascio di Debian 13 ormai imminente, il consiglio è semplice: evitare di usare StarDict. Non ho idea di quanti usino questa applicazione ma siamo nel 2025 e usare un’applicazione desktop vecchio stile come StarDict è già di per sé insolito. Se tieni alla riservatezza dei tuoi dati, è meglio non correre rischi inutili.
Fonte: https://lists.debian.org/debian-user/2025/08/msg00075.html
Fonte: https://lists.debian.org/debian-user/2025/08/msg00076.html
Fonte: https://lists.debian.org/debian-user/2025/08/msg00080.html
Fonte: https://linuxiac.com/stardict-plugins-in-debian-13-raise-privacy-concerns/
Source: Read More