邮件客户端Evolution曝DNS预取隐私漏洞，或致用户信息泄露

爱你不止三千遍

7月19日消息，系统管理员Mike Cardwell近日曝光了邮件客户端Evolution存在的一项隐私隐患。据称，该客户端的DNS预取功能可能造成用户活动信息的泄露。
Evolution是GNOME桌面环境的官方个人信息管理工具，具备邮件、日历、联系人和任务管理功能，广泛用于整合通信与日程安排。
Cardwell指出，Evolution在处理邮件内容时，允许嵌入带有rel属性设为dns-prefetch的HTML链接。此类标签会触发对指定跨域地址的DNS预解析。正常情况下，Evolution所使用的Web渲染引擎WebKitGTK应通过“加载远程内容”设置判断是否允许进行网络请求。若此设置关闭，应阻止对追踪器等外部资源的访问。
然而，问题在于WebKitGTK在处理这些DNS预取请求时，并未调用相应的信号机制，而是直接发起DNS查询。这一行为绕过了Evolution原有的隐私保护机制。结果是，邮件发送者可以在未经接收者同意的情况下，确认邮件是否被打开，以及具体打开时间。
进一步研究显示，攻击者还可通过该机制获取用户所在网络的DNS解析IP，甚至推断出用户的真实IP地址。
对此，GNOME团队的部分开发者持不同意见。有开发者在交流中批评Cardwell的做法有损项目声誉，称其态度“自以为是”，并认为其披露方式不利于问题的解决，令人感到失望。