Разделы

Свободное ПО Софт Безопасность Пользователю Интернет Веб-сервисы

Дырявое ПО пишут не только для Windows. Старейший и любимый миллионами почтовый клиент в Linux оказался невероятно опасным

Почтовый клиент Evolution для дистрибутивов Linux игнорирует настройки безопасности и передает третьим лицам данные пользователей при открытии писем. Evolution существует с 2000 г., является частью оболочки GNOME и даже входит в состав популярнейших российских дистрибутивов Linux.

Персональные данные – бесплатно

Популярный почтовый клиент для Linux, Evolution, оказался крайне опасным приложением. Он существует с 2000 г., поставляется вместе с графической средой GNOME и даже входит в состав российского дистрибутива Astra Linux, но при всем этом, как выяснилось, при первой же возможности сливает данные пользователя.

В их числе – IP-адрес и факт прочтения письма. Evolution делает это, даже если подобные действия напрямую запрещены в его настройках. Проблему обнаружил британский системный администратор Майк Кардвелл (Mike Cardwell).

Безопасность и защищенность Linux осталась в далеком прошлом

По информации Кардвелла, слив данных происходит только при открытии HTML-писем – чтение обычной текстовой корреспонденции к такому эффекту не приводит.

Все работает

Выявив проблему, Кардвелл попытался повторно воспроизвести ее, и у него это получилось. Как оказалось, Evolution предоставляет персональные данные пользователя, если в коде письма будет HTML-тег <link rel="dns-prefetch" href="some-tracking-domain.com">, где вместо some-tracking-domain.com будет стоять ссылка на любой вредоносный сайт.

При наличии этого тега приложение автоматически выполнит DNS-запрос к домену «trackingcode.attackersdomain.example.com» (пример домена), как только пользователь откроет письмо. При этом настройки безопасности, в частности, запрет на загрузку внешнего содержимого, будут игнорироваться.

Сообщение Кардвелла о проблеме

В итоге отправитель письма сможет увидеть этот DNS-запрос и зафиксировать не только факт прочтения письма, но и IP-адрес пользователя, который его открыл. А по IP-адресу уже не так трудно выявить его довольно точное местоположение – не только страну, но даже город, а также провайдера, услугами которого он пользуется. А дальше – уже дело техники. В России, к примеру, базы абонентов крупных интернет-провайдеров регулярно появляются в свободном доступе в Сети.

Официальная отписка

К моменту выхода материала разработчики Evolution не предлагали обновление, устраняющее уязвимость – последняя стабильная версия приложения датирована 23 мая 2025 г. и имеет индекс 3.56.2.

Кардвелл утверждает, что сообщил авторам проекта о проблеме, однако, по его словам, те ограничились лишь формальной отпиской. Они свалили всю вину на движок WebKitGTK, который в современных версиях Evolution применяется для отображения писем.

Разработчики указали также, что эта проблема была найдена в движке еще в августе 2023 г., однако с тех пор ее так никто и не устранил. Запрос Кардвелла на устранение проблемы они отклонили.

На фоне такого ответа Кардвелл порекомендовал всем пользователям Evolution отказаться от него и отдать предпочтение другим почтовым клиентам.

Потенциальный урон

Evolution – это Outlook от мира Linux. Клиент существует четверть века и за годы своего развития стал одним из самых популярных в своем сегменте, на равных конкурируя с Mozilla Thunderbird, который тоже существует под Linux.

В пользу Evolution говорит его умение работать с самыми разными протоколами, включая IMAP, POP, Microsoft Exchange и многие другие. Также его сильной стороной является огромное количество настроек и функций безопасности.

Россиян, вероятно, тоже затронуло

К моменту выхода материала разработчики Evolution не раскрывали точное число пользователей своего детища, но его возраст, а также то, кто именно стоит за ним, может указывать, что их десятки миллионов по всему миру. Разработкой Evolution занимается The GNOME Project – сообщество, которое развивает одноименную графическую оболочку, одну из самых известных и популярных на планете. Он также является основным почтовым клиентом в ней, установленным по умолчанию. В качестве базовой оболочки GNOME используется, например, в Fedora.

CNews подготовил инфографику по одной из крупнейших информационных систем России
Цифровизация

Среди пользователей Evolution с высокой степенью вероятности могут быть и россияне. Почтовый клиент официально входит в состав Asta Linux – самой известной российской ОС с долей более 76% на август 2024 г. «Почтовый клиент Evolution изначально создан для платформы Linux. Входит в состав Astra Linux, однако не является рекомендованным и устанавливаемым по умолчанию почтовым клиентом», – отмечено в официальном справочном центре Astra Linux, где также есть подробная инструкция по установке Evolution.

«Почтовый клиент Evolution присутствует в репозиториях Astra Linux, однако его использование не рекомендуется, что отражено в официальной документации, – сказал CNews директор по информационной безопасности «Группы Астра» Дмитрий Сатанин. – В настоящее время также рассматривается возможность полного исключения данного клиента из дистрибутива операционной системы».

Инструкция по внедрению опасного почтового клиента в «Ред ОС»

Аналогичную инструкцию редакция CNews обнаружила в базе знаний по «Ред ОС» – настольной ОС компании «Ред Софт» на базе Linux.

Геннадий Ефремов