Tra i client di posta più popolari su GNOME c’è Evolution, da sempre considerato una soluzione completa per chi cerca una gestione professionale delle email, con supporto a IMAP, POP, Exchange e funzionalità di cifratura PGP. Basta attivare l’opzione per bloccare i contenuti remoti per sentirsi protetti dagli spammer, giusto? Purtroppo no. È proprio qui che si nasconde una falla pericolosa.
Un sysadmin britannico, Mike Cardwell, ha identificato una falla critica in Evolution: anche con il blocco dei contenuti remoti attivo, il client invia richieste DNS non appena apri un messaggio HTML contenente un tag <img> con un dominio esterno. In pratica, basta una singola riga di codice malevola per far sì che Evolution contatti un server controllato da un attaccante, rivelando così che l’email è stata letta e, peggio ancora, potenzialmente il luogo da cui è stata letta, tramite l’indirizzo IP del resolver DNS.
Colpevole principale? WebKitGTK, il motore di rendering usato da Evolution per interpretare HTML. Già lo scorso aprile era stato segnalato un bug assai simile, risalente ad agosto 2023, senza che alcuna patch sia stata distribuita. La risposta degli sviluppatori è stata trascurabile: chiudere la segnalazione, scaricando la colpa su WebKitGTK e rimandando la risoluzione lontano nel tempo . Cardwell ha anche proposto una soluzione semplice: filtrare il contenuto HTML dannoso prima che raggiunga il motore, permettendo soltanto tag “sicuri”, ma la richiesta sembra piombata nel vuoto.
È un tema delicato per qualsiasi utente Linux attento alla privacy. Evolution è preinstallato come client email predefinito in molte distribuzioni GNOME (tra queste citiamo Fedora) e migliaia di utenti potrebbero non sapere che, nonostante le impostazioni di sicurezza, il loro client continua a tradirli all’insaputa . Di fronte a questa vulnerabilità, la scelta più prudente consigliata è abbandonare Evolution e passare a un’alternativa che non esponga l’IP semplicemente aprendo un’email. Thunderbird, ad esempio, è robusto, open source e indipendente da WebKitGTK, anche se nessun client può dirsi invulnerabile, offre un livello di sicurezza maggiore rispetto all’opzione vulnerabile di default su GNOME.
Se per te la privacy non è un optional, valuta seriamente di ripensare il tuo client di posta. In attesa che si introduca un filtro HTML o una patch, continuare a usare Evolution significa accettare un rischio non da poco: quello di rivelare la tua apertura delle email a mittenti potenzialmente ostili, senza neppure saperlo.
via
