7月19日消息,系统管理员Mike Cardwell近日曝光了邮件客户端Evolution存在的一项隐私隐患。据称,该客户端的DNS预取功能可能造成用户活动信息的泄露。
Evolution是GNOME桌面环境的官方个人信息管理工具,具备邮件、日历、联系人和任务管理功能,广泛用于整合通信与日程安排。
Cardwell指出,Evolution在处理邮件内容时,允许嵌入带有rel属性设为dns-prefetch的HTML链接。此类标签会触发对指定跨域地址的DNS预解析。正常情况下,Evolution所使用的Web渲染引擎WebKitGTK应通过“加载远程内容”设置判断是否允许进行网络请求。若此设置关闭,应阻止对追踪器等外部资源的访问。
然而,问题在于WebKitGTK在处理这些DNS预取请求时,并未调用相应的信号机制,而是直接发起DNS查询。这一行为绕过了Evolution原有的隐私保护机制。结果是,邮件发送者可以在未经接收者同意的情况下,确认邮件是否被打开,以及具体打开时间。
进一步研究显示,攻击者还可通过该机制获取用户所在网络的DNS解析IP,甚至推断出用户的真实IP地址。
对此,GNOME团队的部分开发者持不同意见。有开发者在交流中批评Cardwell的做法有损项目声誉,称其态度“自以为是”,并认为其披露方式不利于问题的解决,令人感到失望。 |
|
让创业更简单