일반적으로 나는 폐쇄 소스 응용 프로그램을 신뢰하지 않기 때문에 Linux 시스템에 오픈 소스 프로그램만 설치합니다. 저는 최근 대학 프로젝트에 Dropbox를 사용해야 했습니다. 나는 별도의 Linux 계정을 만들었습니다.일하다그리고 달리다(예를 들어일하다) 설치가 필요하지 않습니다.파이썬 스크립트를 통해. 또한 스크립트는 Dropbox의 특정 기능에 대한 GUI를 제공하는 기호를 시스템 트레이에 생성합니다.
어느 날 유지 관리를 해야 해서 가상 터미널(KDE에서는 konsole)을 열고 루트 비밀번호를 입력했습니다.수.
Dropbox 앱이 내 루트 비밀번호를 캡처할 수 있나요?
저는 Fedora 20과 KDE 4.14.3을 사용하고 있습니다.
답변1
짧은 대답: 그렇습니다.
"예전"에는 다른 X 응용 프로그램이 해당 입력을 읽는 것을 효과적으로 방지하기 위해 특정 입력을 잡는 것이 가능했습니다. 오늘날까지도 이런 일이 가능하지만,XI2 프로토콜 사양이는 더 이상 수행할 수 없음을 나타내는 것 같습니다(라인 2220 주변의 원래 이벤트에 대한 설명 참조). 따라서 X 바로 아래에서는 더 이상 안전하지 않습니다. 적어도 일반적인 간단한 설정에서는 그렇지 않습니다. 아래 토론도 참조하세요.내 대답도착하다데몬에서 비밀번호를 묻는 메시지를 표시하는 방법(Xsession, keyloggersafe에서)?그리고AskUbuntu Q&A는 거기에 참조되어 있습니다.. 말할 필요도 없이, 실제로 이 작업을 수행하는 터미널은 없습니다. 이것이 바로 OpenSSH나 GnuPG와 같은 응용 프로그램이 키보드를 잡을 수 있는 자체 UI 도우미를 제공하는 이유입니다(위에서 언급한 것처럼 요즘에는 별로 도움이 되지 않습니다).
하지만 할 수 있는 일은 중첩된 X 서버와 같은 다른 X 서버에서 애플리케이션을 실행하는 것입니다.Xephyr또는Xnest또는 VNC 등을 기반으로Xvnc. Wayland 프로토콜은 도청에 대한 일부 보호 기능도 제공해야 합니다.
이 외에도 응용 프로그램은 시스템의 패치되지 않은 보안 허점을 이용하여 상승된 권한을 얻으려고 시도할 수 있습니다. 또는 시스템 경로 앞에 suand 래퍼를 넣어 비밀번호를 가로채는 등 의 간단한 작업을 수행하세요 (댓글을 주신 @Joshua에게 감사드립니다).sudo