GNOME桌面环境官方邮件客户端现隐私漏洞

IT之家7月19日消息，科技媒体NeoWin于昨日（7月19日）发布博文，报道称系统管理员Mike Cardwell揭露了Evolution邮件客户端存在隐私问题，其DNS预取功能会泄露用户活动。

IT之家注：Evolution是GNOME桌面环境的官方个人信息管理器和邮件客户端，它集成了邮件、日历和地址簿功能，能让用户方便地管理电子邮件、日历、联系人和任务等。

Cardwell指出，在Evolution客户端里，电子邮件可包含一个rel属性设置为dns - prefetch的链接HTML标签，且href属性中包含一个跨域，其作用是告知浏览器或邮件客户端预先解析该域的IP地址。

通常情况下，对于任何远程内容，Evolution所使用的Web渲染引擎WebKitGTK应发出一个名为WebPage::send - request的信号，并依据“加载远程内容”设置来决定是否阻止连接。当该设置禁用时，本应阻止追踪器和其他不良内容。

但问题在于，WebKit并不发送该信号，而是直接进行DNS查询，这完全绕过了Evolution的隐私防护措施。如此一来，发件人无需收件方同意，就能知晓收件方是否打开了他们的邮件以及何时打开。

Cardwell后续进一步挖掘发现，利用该漏洞，不仅能知道DNS解析器的IP地址，还能知道用户的实际IP地址。

然而，GNOME开发者并不认可这是一个漏洞。一位开发者指责Cardwell在博客上“抹黑项目”，称他“自以为是”，还认为他的报告“适得其反且令人沮丧”。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com