Uma recente descoberta de uma falha de privacidade no cliente de e-mail Evolution gerou uma acesa discussão entre um administrador de sistemas e os developers do projeto GNOME. O problema, que expõe a atividade dos utilizadores sem o seu consentimento, levantou questões sobre a responsabilidade dos developers de software perante as falhas das bibliotecas que utilizam.
Como uma funcionalidade se tornou numa vulnerabilidade
Na semana passada, o administrador de sistemas Mike Cardwell revelou que o Evolution, um popular cliente de e-mail, estava a divulgar a atividade dos seus utilizadores através de uma funcionalidade chamada "DNS prefetching". Em termos simples, um e-mail pode conter uma tag HTML específica ([CODIGO HTML NAO PERMITIDO #14] rel="dns-prefetch">) que instrui o cliente a resolver antecipadamente o endereço IP de um domínio.
O problema reside no motor de renderização web utilizado pelo Evolution, o WebKitGTK. Normalmente, para qualquer conteúdo remoto, o motor deveria emitir um sinal que permite ao Evolution bloquear a ligação, caso o utilizador tenha desativado o carregamento de conteúdo remoto para proteger a sua privacidade. No entanto, o WebKitGTK executa o pedido de DNS sem enviar este sinal, contornando completamente as defesas de privacidade do Evolution.
Isto permite que o remetente de um e-mail saiba se a sua mensagem foi aberta, quando foi aberta e o endereço IP do servidor DNS do utilizador. Como se não bastasse, Cardwell descobriu uma falha ainda mais grave usando a tag preconnect, que vaza o endereço IP real do utilizador.
A situação é agravada pelo facto de a configuração que o Evolution usava para desativar esta funcionalidade (enable-dns-prefetching) ter sido descontinuada desde a versão 2.48 do WebKit, conforme a documentação oficial, e por isso já não ser respeitada pelo motor.
A troca de acusações e a responsabilidade pelo software
Quando Cardwell reportou o problema, os developers do GNOME encaminharam-no para um bug existente na biblioteca WebKit e fecharam o seu ticket. A posição dos developers, explicada por Milan Crha, um dos responsáveis pelo Evolution, foi que "as aplicações usam bibliotecas, as aplicações têm as suas dependências" e que a correção teria de acontecer no local certo, ou seja, na biblioteca "upstream".
Esta resposta não agradou a Cardwell, que a considerou uma recusa em assumir a responsabilidade pelo seu próprio produto. Ele argumentou que era dever dos developers do GNOME proteger os seus utilizadores e sugeriu várias ações que poderiam ser tomadas enquanto se aguardava por uma correção oficial, como alertar os utilizadores na interface ou na página de download, pressionar o projeto "upstream" ou até mesmo criar uma versão própria da biblioteca com a falha corrigida.
A discussão tornou-se mais hostil após Cardwell ter adicionado os testes para esta falha à sua ferramenta, a Email Privacy Tester. Os developers do GNOME não apreciaram a sua atitude "passivo-agressiva" e as publicações no seu blog. Um dos developers acusou-o de "manchar a reputação do projeto", chamou-lhe "arrogante" e afirmou que a sua forma de reportar o problema era "contraproducente e francamente desmotivadora".
A história terminou (por agora) com o bloqueio da thread de discussão, com Cardwell a afirmar que tal aconteceu porque "feriu os seus sentimentos". O bug original no WebKit, reportado pela primeira vez em agosto de 2023, continua em aberto.
Nenhum comentário
Seja o primeiro!