¿Es posible que Oracle coloque puertas traseras en VirtualBox que comprometan la privacidad / anonimato de un usuario? Por ejemplo, ¿está ejecutando Whonix a través de VirtualBox una configuración segura si su sistema operativo host no está encriptado? ¿Qué tan probable es que Oracle pueda salir de la VM y "silenciosamente" obtener acceso de root al sistema operativo subyacente? ¿Qué precauciones se pueden tomar para minimizar estas amenazas? ¿Hay alternativas viables?
Acabo de poner algunas opiniones de este enlace :
Si quisieran incluir puertas traseras en VirtualBox, habrían cerrado la fuente hace mucho tiempo. ¿Por qué gastarían tiempo implementando una puerta trasera en un software de código abierto que, si se detectara, llevaría a que todos abandonaran el software en masa? Dejarlo abierto permite a miles de personas peinar a través de diferentes áreas de la fuente mientras buscan errores y los compilan por su cuenta. Hay demasiados ojos puestos en ella para que me compre la idea de que las puertas traseras son muy probables. Sí, todavía es posible. Cualquier cosa es posible si quieres hablar en tecnicismos.
Puede descargar la fuente, revisarla y compilarla usted mismo.
En general, sí, una puerta trasera es posible en cualquier tipo de software.
Sí, es posible, pero si el sistema operativo invitado está instalado en un contenedor TC, también necesitan una puerta trasera en TC antes de poder tener acceso al sistema operativo invitado, y en la atmósfera no creo que TC tenga puertas traseras, incluso si en estos semanas, algunos usuarios están investigando sobre eso.
y también esta Guía y referencia de programación de Virtualbox
que dice: - no hay puertas traseras ocultas en el motor de virtualización para nuestras propias interfaces.
pero creo que nadie puede probar su opinión (las respuestas están basadas en opiniones y no en expertos)
Si no puede confiar en su software de virtualización, está en serios problemas. El software de virtualización puede hacer * lo que quiera) con el código virtualizado (debido a la manipulación directa de la memoria), pero esto es al nivel de "Oye, ¿alguien puede robar mis datos de tarjeta de crédito incluso si los cifré de la memoria cuando la memoria está llena de sondas de medida? " (a.k.a. podrías, pero es muy poco probable).
Como @ali señaló, Virtualbox es de código abierto y usted (o cualquiera) puede inspeccionar el código y ver si existe tal cosa. No he visto una rutina de llamada a casa durante las exploraciones de mi red, así que no creo que esté ahí. E incluso si fuera como lo señaló @Ali, si alguna vez los atrapan, sería una gran pesadilla publicitaria y Oracle podría arriesgar su reputación y negocio en el mercado de servidores (eso solo creo que es una motivación suficiente para que ni siquiera lo hagan). intenta implementar algo como eso).
Esto de ninguna manera es una respuesta sólida (prefiero dejar esto como un comentario que como una respuesta, pero no tengo la reputación adecuada). Dependiendo de la configuración de red de su VirtualBox, si alguien tiene el control de su VirtualBox, podría ingresar a su enrutador u otros dispositivos en su red, dependiendo de la configuración y la situación. Sin mencionar que, si está compartiendo carpetas con VirtualBox, podrían insertar un archivo malicioso y realizar una ingeniería social, como reemplazar un archivo en esa carpeta con un archivo que se parece (el mismo nombre de archivo, icono y datos), pero En realidad es un malware. Sin embargo, el sentido común nos dice que si alguien tiene acceso a nuestro VirtualBox, existe la posibilidad de que se produzca un daño real. En cuanto a las puertas traseras, @Ali lo cubrió de manera excelente.
Lea otras preguntas en las etiquetas privacy backdoor virtualization trust