Дырявое ПО пишут не только для Windows. Старейший и любимый миллионами почтовый клиент в Linux оказался невероятно опасным
Почтовый клиент Evolution для дистрибутивов Linux игнорирует настройки безопасности и передает третьим лицам данные пользователей при открытии писем. Evolution существует с 2000 г., является частью оболочки GNOME и даже входит в состав популярнейших российских дистрибутивов Linux.
Персональные данные – бесплатно
Популярный почтовый клиент для Linux, Evolution, оказался крайне опасным приложением. Он существует с 2000 г., поставляется вместе с графической средой GNOME и даже входит в состав российского дистрибутива Astra Linux, но при всем этом, как выяснилось, при первой же возможности сливает данные пользователя.
В их числе – IP-адрес и факт прочтения письма. Evolution делает это, даже если подобные действия напрямую запрещены в его настройках. Проблему обнаружил британский системный администратор Майк Кардвелл (Mike Cardwell).
По информации Кардвелла, слив данных происходит только при открытии HTML-писем – чтение обычной текстовой корреспонденции к такому эффекту не приводит.
Все работает
Выявив проблему, Кардвелл попытался повторно воспроизвести ее, и у него это получилось. Как оказалось, Evolution предоставляет персональные данные пользователя, если в коде письма будет HTML-тег <link rel="dns-prefetch" href="some-tracking-domain.com">, где вместо some-tracking-domain.com будет стоять ссылка на любой вредоносный сайт.
При наличии этого тега приложение автоматически выполнит DNS-запрос к домену «trackingcode.attackersdomain.example.com» (пример домена), как только пользователь откроет письмо. При этом настройки безопасности, в частности, запрет на загрузку внешнего содержимого, будут игнорироваться.
В итоге отправитель письма сможет увидеть этот DNS-запрос и зафиксировать не только факт прочтения письма, но и IP-адрес пользователя, который его открыл. А по IP-адресу уже не так трудно выявить его довольно точное местоположение – не только страну, но даже город, а также провайдера, услугами которого он пользуется. А дальше – уже дело техники. В России, к примеру, базы абонентов крупных интернет-провайдеров регулярно появляются в свободном доступе в Сети.
Официальная отписка
К моменту выхода материала разработчики Evolution не предлагали обновление, устраняющее уязвимость – последняя стабильная версия приложения датирована 23 мая 2025 г. и имеет индекс 3.56.2.
Кардвелл утверждает, что сообщил авторам проекта о проблеме, однако, по его словам, те ограничились лишь формальной отпиской. Они свалили всю вину на движок WebKitGTK, который в современных версиях Evolution применяется для отображения писем.
Разработчики указали также, что эта проблема была найдена в движке еще в августе 2023 г., однако с тех пор ее так никто и не устранил. Запрос Кардвелла на устранение проблемы они отклонили.
На фоне такого ответа Кардвелл порекомендовал всем пользователям Evolution отказаться от него и отдать предпочтение другим почтовым клиентам.
Потенциальный урон
Evolution – это Outlook от мира Linux. Клиент существует четверть века и за годы своего развития стал одним из самых популярных в своем сегменте, на равных конкурируя с Mozilla Thunderbird, который тоже существует под Linux.
В пользу Evolution говорит его умение работать с самыми разными протоколами, включая IMAP, POP, Microsoft Exchange и многие другие. Также его сильной стороной является огромное количество настроек и функций безопасности.
К моменту выхода материала разработчики Evolution не раскрывали точное число пользователей своего детища, но его возраст, а также то, кто именно стоит за ним, может указывать, что их десятки миллионов по всему миру. Разработкой Evolution занимается The GNOME Project – сообщество, которое развивает одноименную графическую оболочку, одну из самых известных и популярных на планете. Он также является основным почтовым клиентом в ней, установленным по умолчанию. В качестве базовой оболочки GNOME используется, например, в Fedora.
Среди пользователей Evolution с высокой степенью вероятности могут быть и россияне. Почтовый клиент официально входит в состав Asta Linux – самой известной российской ОС с долей более 76% на август 2024 г. «Почтовый клиент Evolution изначально создан для платформы Linux. Входит в состав Astra Linux, однако не является рекомендованным и устанавливаемым по умолчанию почтовым клиентом», – отмечено в официальном справочном центре Astra Linux, где также есть подробная инструкция по установке Evolution.
«Почтовый клиент Evolution присутствует в репозиториях Astra Linux, однако его использование не рекомендуется, что отражено в официальной документации, – сказал CNews директор по информационной безопасности «Группы Астра» Дмитрий Сатанин. – В настоящее время также рассматривается возможность полного исключения данного клиента из дистрибутива операционной системы».
Аналогичную инструкцию редакция CNews обнаружила в базе знаний по «Ред ОС» – настольной ОС компании «Ред Софт» на базе Linux.