Уязвимость в Evolution: почтовый клиент для Linux раскрывает данные пользователей

Среди пользователей Linux пользуется популярностью почтовый клиент Evolution, его считают безопасной альтернативой Microsoft Outlook. Программа, появившаяся еще в 2000 году, не только работает с электронной почтой, но и выполняет функции органайзера, поддерживая протоколы IMAP, POP и даже Microsoft Exchange. Однако недавнее открытие ставит под сомнение ее репутацию надежного и безопасного приложения.

Проблема с приватностью

Системный администратор из Великобритании Майк Кардвелл обнаружил серьезную уязвимость в Evolution. Даже если в настройках отключена загрузка удаленного контента (опция "Load Remote Content"), приложение все равно выполняет DNS-запросы при открытии писем с определенными HTML-тегами, например:

<link rel="dns-prefetch" href="some-tracking-domain.com">

Как только вы открываете такое письмо, запрос отправляется автоматически. Злоумышленник, отправивший сообщение, может увидеть этот запрос в своих логах. Это позволяет ему узнать, что письмо было прочитано, а в некоторых случаях — даже определить ваше местоположение по IP-адресу DNS-резолвера. Получается, что функция защиты от трекинга, на которую рассчитывают пользователи, просто не работает.

Реакция разработчиков

Кардвелл сообщил о проблеме в баг-трекере Evolution, но разработчики не приняли его жалобу всерьез. Они заявили, что виноват WebKitGTK — движок, отвечающий за отображение веб-контента в приложении, и закрыли тикет. Вместо решения проблемы они указали на другой баг, о котором сообщалось в апреле 2024 года. В нем говорилось о похожей уязвимости с тегом <iframe>, который может раскрывать IP-адрес пользователя. Этот баг, в свою очередь, связан с ошибкой в WebKit, зарегистрированной еще в августе 2023 года, и до сих пор не исправлен.

Кардвелл предложил свое решение: создать в Evolution список безопасных HTML-тегов, отфильтровывая подозрительные еще до их передачи в движок рендеринга. По его мнению, это могло бы стать надежной защитой. Однако разработчики не поддержали идею, что вызвало у администратора вопросы к их подходу.

Что делать пользователям?

Кардвелл рекомендует всем, кто заботится о своей приватности, отказаться от использования Evolution и перейти на другие почтовые клиенты. Он считает, что разработчики не воспринимают эту уязвимость как свою ответственность, а значит, пользоваться приложением рискованно.

Почему это важно?

Evolution — стандартный почтовый клиент в среде GNOME, одной из популярных рабочих окружений для Linux. Его предустанавливают в таких дистрибутивах, как Fedora, и тысячи пользователей могут даже не подозревать о проблеме. Это делает уязвимость особенно опасной.

Какие есть альтернативы?

Если вы ищете безопасный почтовый клиент для Linux, обратите внимание на Mozilla Thunderbird или KMail. Эти программы поддерживают те же протоколы, что и Evolution, и предлагают надежные функции шифрования, такие как GPG, без подобных проблем с приватностью.