最近在 GitHub 页面上针对以隐私为重点的 VirtualBox 包装器 HiddenVM 打开了一个问题。揭幕战发布了他声称的表明本地缓存中的文件被发送到外部 IP 的内容:
当我使用 dmesg 时,我看到它在后台做了什么。我从众多信息中挑选了两条:
audit: type=1400 audit(1651914430.711:1128): apparmor="DENIED" operation="open" profile="torbrowser_firefox" name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png" pid=10995 comm="pool-firefox" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000 Dropped outbound packet: IN= OUT=wlan0 SRC=i removed the adress DST=i removed the adress LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031 PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID=0所以看起来它把文件从我的缓存发送到了某个地址。就像为什么应该更改设置的脚本会打开缓存文件并将它们发送到某个地方?
开场白并没有确切说明他们使用了哪些命令,也没有提供任何进一步的细节。
这两条消息是否表明文件正在从本地计算机发送到外部 IP?
GitHub问题中的问题描述是:
和日志消息:
此消息是由 AppArmor 生成的,阻止名为 10995 的进程以
pool-firefox用户 ID 1000 运行对本地文件管理器的缩略图图像缓存的读取访问。我在这里看不到任何东西表明此消息将以任何方式与以
/sbin/vboxconfigroot 身份执行有关。更有可能的是,用户只是打开了一个 Firefox 文件对话框(无论出于何种原因),并且对话框库正在寻找图像缩略图,但是由于该库是作为 Web 浏览器的一部分执行的,因此 AppArmor 以隐私为重点的分发规则阻止访问(以防止通过浏览器泄露本地缩略图缓存的可能性)。ICMPv6 类型 133 是一个路由器请求数据包,即该系统正在发送一个数据包
wlan0,请求 WiFi 网络上的 IPv6 路由器宣布自己。它是 IPv6 自动配置的正常功能的一部分,
UID=0表示数据包是由根级进程生成的。通常,此类数据包作为多播发送到链路本地“所有路由器” IPv6 多播地址,因此如果DST=地址不是ff02::2,则表明使用异常,可能表明 ICMPv6 消息可能被用作隐蔽数据泄露通道。但是,如此复杂的攻击(已经需要特权访问来制作自定义 ICMPv6 消息)而不删除 iptables 过滤器阻塞并显示它是不一致的,强烈表明这可能是用户的误解。
我没有看到任何证据表明原始操作、第一个日志消息和/或第二个日志消息之间存在因果关系。
这看起来更像是一个常见的逻辑谬误:“既然事件 Y 跟随事件 X,那么事件 Y 一定是由事件 X 引起的。” (“post hoc ergo propter hoc”)
在这种情况下,用户只是假设日志消息完全是由它们运行
/sbin/vboxconfig命令产生的,而实际上系统上同时发生了许多其他进程,并dmesg报告所有这些进程。