일반적으로 폐쇄 소스 응용 프로그램을 신뢰하지 않기 때문에 Linux 상자에만 공개 소스 프로그램을 설치합니다. 최근에 대학 프로젝트에 Dropbox를 사용해야했습니다. 나는 별도의 리눅스 계정에게 이름을 만들어 작업 하고 (같은 실행 작업 ) 설치하지 않고 보관을 파이썬 스크립트를 통해. 이 스크립트는 시스템 트레이에 일부 Dropbox 기능에 대한 GUI를 제공하는 심볼을 만들었습니다.
다른 날에는 약간의 유지 관리 작업을 수행하여 가상 터미널 (KDE의 Konsole)을 열고 su의 루트 암호를 입력했습니다 .
Dropbox 응용 프로그램이 루트 암호를 캡처했을 가능성이 있습니까?
KDE 4.14.3과 함께 Fedora 20을 사용합니다.
답변:
짧은 대답 : 그렇습니다.
"오래된 날"에는 다른 X 응용 프로그램이 특정 입력을 잡아서 효과적으로 읽지 못하게 할 수있었습니다. 아직까지는이 작업을 수행 할 수 있지만 XI2 프로토콜 사양 은 더 이상이 작업을 수행 할 수 없다고 제안하는 것 같습니다 (2220 행의 원시 이벤트 설명 참조). 따라서 X만으로는 최소한 일반적인 설정에서는 안전하지 않습니다. 또한 아래의 설명을 참조하십시오 내 대답 에 암호를위한 데몬이 요청하게하는 방법 (Xsession에에, keyloggersafe를)? 상기 AskUbuntu Q & A는 참조가. 말할 것도없이 OpenSSH 나 GnuPG와 같은 응용 프로그램에는 키보드를 움켜 잡는 UI 도우미가 내장되어 있습니다 (위에서 언급 한 것처럼 요즘에는 그다지 도움이되지 않습니다).
같은 당신이 생각 할 수있는 것은 다른 X 서버에서 응용 프로그램을 실행하는 것, 예를 들어, 중첩 된 X 서버 Xephyr나 Xnest처럼, 또는 VNC 기반의 하나 Xvnc. Wayland 프로토콜은 도청 방지 기능도 제공해야합니다.
위와는 별도로 응용 프로그램은 시스템의 패치되지 않은 보안 허점을 악용하여 높은 권한을 얻습니다. 또는 시스템 경로 앞에 a su및 sudo래퍼를 경로에 넣고 암호를 가로 채는 것과 같이 더 쉬운 작업을 수행 하십시오 (주석에 @Joshua에게 감사드립니다).
xspy키보드를 계속 폴링하여 해당 키를 누르는 키를 얻는 것과 같은 프로그램으로부터 보호하지 못합니다 .