Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Xinput

DoUPod

Bonjour,

Dans un autre sujet (ici : http://forum.ubuntu-fr.org/viewtopic.php?pid=7581811), quelqu'un a mentionné une commande, xinput, qui dépend du serveur graphique X et qui pourrait potentiellement se transformer en keylogger.

Il s'agit d'un paquet lié au serveur graphique X qui doit servir à des fins de test initialement. Il peut cependant être (relativement) facilement détourné de son rôle initial et servir de keylogger. A priori on peut le désinstaller sans problème.

Pourquoi n'y a t il aucune information sur cette "faille" dans la documentation ? Est-elle réellement critique (un programme pourrait-il lancer cette commande facilement ?)

Merci

P.S. : Quelques liens : http://neosting.net/actualite/un-keylogger-en-natif-sous-linux-via-x11.html
http://blog.rom1v.com/2011/11/keylogger-sous-gnulinux-enregistrer-les-touches-tapees-au-clavier/

DoUPod

Quelques informations que j'ai trouvé :
- C'est donc un paquet qui sert à écouter et tester les entrées matérielles.
- Il semble indispensable au système car de nombreuses applications en ont besoin.

Au niveau de son exploitation, il faut un serveur graphique X (normal me direz-vous...) -> donc pas de problème si on se connecte en SSH sur un serveur web par exemple je crois. De même, dans les consoles "Alt + F*", le contenu ne peut être écouté.
Pour une exploitation malveillante, il faut donc qu'un "pirate" ait réussi à installer une application sur le PC (PC compromis (usurpation de compte), application téléchargée en dehors des dépôts et non sûre, accès physique au PC) pour écouter le clavier. Donc au final, ça n'a pas l'air si méchant que ça, étant donné que si on est dans un des cas précédents, le pirate pourra toujours inclure un bout de code dans son application pour faire keylogger. La seule différence est que c'est déjà codé dans X...

Si on résume tout, la seule "vulnérabilité critique" qu'il pourrait y avoir c'est que cette commande qui agit comme keylogger récupère toutes les entrées, sans souci de l'utilisateur (et donc peut récupérer un mot de passe root). Ceci dit, si un tel keylogger se trouve sur un PC, personnellement, je m'inquiéterais plus pour mes mots de passe de site de banque etc. que du mot de passe root...

En revanche, cette commande peut-être lancée grâce à une faille d'une application (navigateur internet par exemple). Mais dans ce cas, elle est dangereuse car ne nécessite pas de privilèges spéciaux mais c'est l'application qui pose problème... 🙂

Merci de me corriger si je me plante quelque part 🙂

Mysteroïd

En effet ça craint, je viens de tester et avec un accès physique au PC tu peux très facilement (et vite) récupérer le mot de passe root sans que ça se voit puisque tu lances ton keylogger en daemon sans droits et quelques secondes...
Via SSH non root je viens de tester et tu peux parfaitement le faire aussi via un simple "DISPLAY=:0" ;-)

=> C'est de la belle faille, ça craint !

DoUPod

Est-ce que quelqu'un pourrait confirmer ? J'ai eu une réponse contradictoire sur le forum anglais et vu sur certains blogs...
Merci