Утечка данных в популярном почтовом клиенте Linux: стоит ли вам беспокоиться?

Когда речь заходит о выборе почтового клиента, у пользователей есть множество вариантов. Одним из старожилов является Outlook, но в мире Linux особой популярностью пользуется Evolution. Этот почтовый клиент, существующий с 2000 года, некоторые называют "Outlook для Linux" за его широкие возможности управления личной информацией и поддержку различных протоколов, включая IMAP, POP и Microsoft Exchange.

Многие пользователи выбирают Evolution из-за его заявленных функций безопасности. Он предлагает опции, такие как отображение писем в виде обычного текста, шифрование GPG и функцию "Загружать удаленный контент", которая должна защищать от отслеживающих пикселей, используемых маркетологами и спамерами для определения, когда вы открыли письмо.

Однако, как оказалось, доверять этим заявлениям стоит с осторожностью. Системный администратор из Великобритании, Майк Кардвелл, обнаружил серьезную уязвимость. По его словам, если вредоносное письмо содержит определенный HTML-тег, например:

Evolution немедленно выполняет DNS-запрос для trackingcode.attackersdomain.example.com, как только вы открываете сообщение. И это происходит даже при отключенной опции загрузки удаленного контента!

Злоумышленник может увидеть этот DNS-запрос в своих логах, получив информацию о том, что вы прочитали письмо, и, возможно, даже узнать ваше местоположение, определив IP-адрес вашего DNS-сервера. Таким образом, функция конфиденциальности, которая, как вы думали, вас защищает, оказывается бесполезной.

Кардвелл сообщил об этой ошибке, но реакция разработчиков Evolution оказалась неожиданной. Они переложили ответственность на WebKitGTK, движок веб-рендеринга, используемый приложением, и закрыли заявку, сославшись на аналогичную проблему от апреля 2024 года, связанную с раскрытием IP-адреса. Эта проблема, в свою очередь, указывает на ошибку WebKit, обнаруженную еще в августе 2023 года, и нет никаких признаков того, что она будет исправлена в ближайшее время.

Кардвелл даже предложил решение: добавить в Evolution белый список безопасных HTML-тегов и удалять все подозрительные теги перед передачей письма в движок браузера. Он утверждал, что это обеспечит надежную защиту, но, похоже, его предложение не было принято.

Теперь Кардвелл советует пользователям, для которых важна конфиденциальность, отказаться от Evolution в пользу другого почтового клиента. По его мнению, разработчики не считают эту утечку конфиденциальности своей проблемой.

Стоит отметить, что Evolution является почтовым клиентом по умолчанию для GNOME, одной из самых популярных сред рабочего стола Linux. Это означает, что он предустановлен на многих популярных дистрибутивах, таких как Fedora, потенциально подвергая риску тысячи пользователей, которые даже не подозревают об уязвимости.

Мнение редакции: Отношение разработчиков к проблемам безопасности, поднимаемым сообществом, вызывает серьезные вопросы к их приоритетам. Пользователям, действительно заботящимся о конфиденциальности, следует тщательно рассмотреть альтернативы Evolution, пока уязвимость не будет устранена.