邮件客户端Evolution被曝隐私漏洞 可泄露用户IP地址等信息

系统管理员Mike Cardwell曝光GNOME官方邮件客户端Evolution存在隐私问题，DNS预取功能会泄露用户活动。Evolution是GNOME桌面环境的官方个人信息管理器和邮件客户端，集成邮件、日历和地址簿功能。

Cardwell指出，在Evolution客户端中，电子邮件可以包含一个带有rel属性设置为dns-prefetch的链接HTML标签，并且href属性中包含一个跨域，用于告诉浏览器或邮件客户端预先解析该域的IP地址。通常，对于任何远程内容，Evolution使用的Web渲染引擎WebKitGTK应该发出一个名为WebPage::send-request的信号，并根据“加载远程内容”设置决定是否阻止连接。

然而，问题在于WebKit并不发送该信号，而是直接进行DNS查询。这完全绕过了Evolution的隐私防护措施。因此，发件人可以不需要收件方同意，可以看到收件方是否打开了他们的邮件、何时打开。Cardwell后续还挖掘发现，利用该漏洞，不仅可以知道以及DNS解析器的IP地址，而且还能知道用户的实际IP地址。

然而，GNOME开发者并不认同这个漏洞，一位开发者指责他在博客上“抹黑项目”，称其“自以为是”，并认为他的报告是“适得其反且令人沮丧的”。这种反应引发了社区的争议，一些人认为开发者应该更加重视用户隐私和安全问题，而不是对报告问题的人进行攻击。