Para muitos utilizadores de Linux, o Evolution é uma aplicação de referência. Com uma longa história que remonta ao ano 2000, é frequentemente apelidado de "o Outlook do Linux" por ser um gestor de informações pessoais completo e de código aberto, indo muito além de uma simples aplicação de email. O seu suporte para protocolos que vão desde IMAP e POP até Microsoft Exchange torna-o uma escolha versátil e poderosa. No entanto, uma falha grave está a colocar a sua promessa de privacidade em risco.
A promessa de segurança que atraiu os utilizadores
Uma das principais razões para a popularidade do Evolution reside nos seus controlos de segurança. A aplicação oferece funcionalidades de privacidade importantes, como a capacidade de exibir emails como texto simples, encriptação GPG e, talvez a mais conhecida, a opção "Carregar Conteúdo Remoto". Esta definição, presente nas preferências de segurança, foi desenhada para impedir que marketers e autores de spam saibam que um email foi aberto, bloqueando os chamados píxeis de rastreamento.
A falha que ignora completamente as proteções
A confiança depositada nesta funcionalidade pode estar a ser traída. Mike Cardwell, um administrador de sistemas do Reino Unido, descobriu uma falha de segurança preocupante. Segundo Cardwell, se um email malicioso contiver uma tag HTML específica.
O Evolution realiza um pedido de DNS para o domínio do atacante no exato momento em que a mensagem é aberta. Isto acontece mesmo que a opção para bloquear conteúdo remoto esteja ativada.
O remetente consegue ver esse pedido de DNS nos seus registos, o que não só revela que o email foi lido, como pode também expor a localização do utilizador através do endereço IP do seu resolvedor de DNS. Na prática, esta vulnerabilidade contorna por completo a funcionalidade que deveria proteger a privacidade do utilizador.
Uma resposta evasiva e um problema sem solução à vista
Após a descoberta, Cardwell submeteu um relatório de bug, mas a resposta da equipa de desenvolvimento do Evolution foi, no mínimo, evasiva. Os responsáveis culparam o WebKitGTK, o motor de renderização web que a aplicação utiliza, e fecharam o ticket, associando-o a outro de abril de 2024 sobre uma tag semelhante que pode expor diretamente o IP do utilizador. Esse ticket, por sua vez, aponta para um bug do WebKit que data de agosto de 2023, e não há qualquer indicação de que será corrigido em breve.
Cardwell chegou a sugerir uma solução prática: o Evolution poderia manter uma lista de tags HTML seguras e simplesmente remover as que fossem suspeitas antes de o email ser processado pelo motor do navegador. Ele argumentou que seria uma estratégia de "defesa em profundidade" robusta, mas a sugestão parece ter sido ignorada.
O impacto para milhares de utilizadores e a recomendação final
A situação é particularmente grave porque o Evolution é o cliente de email padrão no GNOME, um dos ambientes de trabalho mais populares em Linux. Isto significa que vem pré-instalado em distribuições de grande relevo, como o Fedora, afetando potencialmente milhares de utilizadores que podem não ter conhecimento do risco.
Perante a aparente falta de responsabilidade dos programadores em resolver o problema, Mike Cardwell aconselha agora os utilizadores que valorizam a sua privacidade a abandonar o Evolution e a procurar alternativas mais seguras.
Nenhum comentário
Seja o primeiro!