Administrator systemu z Wielkiej Brytanii o nazwisku Mike Cardwell odkrył poważną lukę w Evolution. I poleca: jeśli zależy Ci na prywatności, przestań korzystać z tego popularnego klienta poczty e-mail w systemie Linux. Evolution jest domyślnym klientem GNOME, jednego z najpopularniejszych środowisk graficznych Linuksa, jest on preinstalowany w głównych dystrybucjach, takich jak Fedora, co potencjalnie może mieć wpływ na tysiące użytkowników.
Co się psuje w Evolution?
Co ciekawe – jednym z głównych powodów, dla których ludzie wybierają Evolution, są jego… zabezpieczenia. Jakie? Otóż aplikacja oferuje naprawdę niezłe funkcje prywatności, takie jak wyświetlanie wiadomości e-mail jako zwykłego tekstu, szyfrowanie GPG oraz opcję “Wczytaj zdalną zawartość”, którą można znaleźć w preferencjach bezpieczeństwa. To ustawienie ma zablokować piksele śledzące, uniemożliając marketerom i spamerom dowiedzenie się, że otworzyłeś ich wiadomość e-mail.
Cardwell zauważył jednak, że jeśli złośliwy e-mail zawiera znacznik HTML podobny do poniższego, Evolution wysyła żądanie DNS w chwili otwarcia wiadomości. Dzieje się tak nawet po wyłączeniu zawartości “trackingcode.attackersdomain.example.com”. Nadawca może zobaczyć to żądanie DNS w swoich logach, ujawniając, że czytasz jego e-mail i potencjalnie ujawniając Twoją lokalizację poprzez adres IP Twojego serwera DNS. To całkowicie omija funkcję prywatności, którą uważałeś za chroniącą.

Czytaj też: Linux 6.15 jest już dostępny! Znamy pełną listę zmian
Cardwell zgłosił błąd w 2024 roku, ale został on zignorowany. Zespół programistów Evolution obwinił o zjawisko WebKitGTK, czyli silnik renderujący używany przez aplikację. Następnie… zamknął zgłoszenie, łącząc je z innym z kwietnia 2024 roku, dotyczącym podobnego znacznika, który może bezpośrednio ujawnić adres IP użytkownika. Zgłoszenie to wskazuje na błąd WebKit z sierpnia 2023 roku i nic nie wskazuje na to, że zostanie on wkrótce naprawiony.
Cardwell zasugerował, że Evolution mógłby utrzymywać białą listę bezpiecznych tagów HTML i po prostu usuwać te podejrzane, zanim wiadomość e-mail trafi do silnika przeglądarki. Argumentował, że byłaby to solidna strategia obrony na dużą skalę, ale raczej nie zostanie wdrożona. A ponieważ zespół Evolution nic z tym nie robi, odkrywca buga doradza zmianę klienta.