Eu não assisti ao vídeo, então estou respondendo ao tópico do SU em vez do vídeo que ele faz referência.
Se um invasor puder executar o código em sua máquina como seu usuário, ele poderá registrar suas teclas pressionadas.
Bem, duh. Todos os aplicativos que você está executando têm acesso às teclas pressionadas. Se você está digitando coisas no seu navegador da Web, seu navegador da Web tem acesso às teclas pressionadas.
Ah, você diz, mas e quanto ao registro de pressionamentos de tecla em outro aplicativo? Enquanto o outro aplicativo estiver sendo executado no mesmo servidor X, eles ainda poderão ser registrados. O X11 não tenta isolar aplicativos - esse não é o seu trabalho. O X11 permite que os programas definam atalhos globais, o que é útil para métodos de entrada, para definir macros, etc.
Se o invasor puder executar o código como seu usuário, ele também poderá ler e modificar seus arquivos e causar todos os tipos de outros danos.
Isso não é uma ameaça. Faz parte das expectativas normais de um sistema de trabalho. Se você permitir que um invasor execute código em sua máquina, sua máquina não será mais segura. É como se você abrisse a porta da frente e permitisse que um machado matasse: se você fosse clivado em dois, não é porque a porta da frente é insegura.
O SELinux é irrelevante aqui. O SELinux tenta conter comportamento não autorizado, mas após a exploração inicial (que não está no domínio do SELinux), tudo é um comportamento autorizado.
O keylogger só pode registrar chaves pressionadas pelo usuário infectado. (Pelo menos enquanto o usuário infectado não digitar a senha do sudo.)