Среди пользователей Linux пользуется популярностью почтовый клиент Evolution, его считают безопасной альтернативой Microsoft Outlook. Программа, появившаяся еще в 2000 году, не только работает с электронной почтой, но и выполняет функции органайзера, поддерживая протоколы IMAP, POP и даже Microsoft Exchange. Однако недавнее открытие ставит под сомнение ее репутацию надежного и безопасного приложения.
Проблема с приватностью
Системный администратор из Великобритании Майк Кардвелл обнаружил серьезную уязвимость в Evolution. Даже если в настройках отключена загрузка удаленного контента (опция "Load Remote Content"), приложение все равно выполняет DNS-запросы при открытии писем с определенными HTML-тегами, например:
<link rel="dns-prefetch" href="some-tracking-domain.com">
Как только вы открываете такое письмо, запрос отправляется автоматически. Злоумышленник, отправивший сообщение, может увидеть этот запрос в своих логах. Это позволяет ему узнать, что письмо было прочитано, а в некоторых случаях — даже определить ваше местоположение по IP-адресу DNS-резолвера. Получается, что функция защиты от трекинга, на которую рассчитывают пользователи, просто не работает.
Реакция разработчиков
Кардвелл сообщил о проблеме в баг-трекере Evolution, но разработчики не приняли его жалобу всерьез. Они заявили, что виноват WebKitGTK — движок, отвечающий за отображение веб-контента в приложении, и закрыли тикет. Вместо решения проблемы они указали на другой баг, о котором сообщалось в апреле 2024 года. В нем говорилось о похожей уязвимости с тегом <iframe>, который может раскрывать IP-адрес пользователя. Этот баг, в свою очередь, связан с ошибкой в WebKit, зарегистрированной еще в августе 2023 года, и до сих пор не исправлен.
Кардвелл предложил свое решение: создать в Evolution список безопасных HTML-тегов, отфильтровывая подозрительные еще до их передачи в движок рендеринга. По его мнению, это могло бы стать надежной защитой. Однако разработчики не поддержали идею, что вызвало у администратора вопросы к их подходу.
Что делать пользователям?
Кардвелл рекомендует всем, кто заботится о своей приватности, отказаться от использования Evolution и перейти на другие почтовые клиенты. Он считает, что разработчики не воспринимают эту уязвимость как свою ответственность, а значит, пользоваться приложением рискованно.
Почему это важно?
Evolution — стандартный почтовый клиент в среде GNOME, одной из популярных рабочих окружений для Linux. Его предустанавливают в таких дистрибутивах, как Fedora, и тысячи пользователей могут даже не подозревать о проблеме. Это делает уязвимость особенно опасной.
Какие есть альтернативы?
Если вы ищете безопасный почтовый клиент для Linux, обратите внимание на Mozilla Thunderbird или KMail. Эти программы поддерживают те же протоколы, что и Evolution, и предлагают надежные функции шифрования, такие как GPG, без подобных проблем с приватностью.
Linux: обзоры и обновления
• Ubuntu 24.04.3 LTS получит ядро Linux 6.14 и драйверы Mesa 25.0
• Wine 10.12: Опциональный бэкенд EGL и поддержка Bluetooth Low Energy
• Linux как альтернатива Windows 11: основные плюсы для пользователей
• Bottles на грани: хватит ли сообществу сил спасти проект?
• Wayland против X11: KDE Plasma 6.4 показывает, что старый протокол всё ещё быстрее и экономичнее
• Уязвимость в Evolution: почтовый клиент для Linux раскрывает данные пользователей