В современном цифровом мире вопросы безопасности и конфиденциальности приобретают все большее значение. Почта остается одним из самых важных и в то же время уязвимых каналов коммуникации, через который злоумышленники могут получать доступ к персональным данным и даже отслеживать действия пользователей. Особенно это актуально для владельцев почтового клиента Evolution Mail, который, как выясняется, имеет серьезные проблемы с обеспечением приватности при работе с электронными письмами. Evolution Mail позиционируется как удобный и современный почтовый клиент, однако последние исследования выявили существенные недостатки в его механизмах защиты пользователей. Главной проблемой стал сервис загрузки удаленного содержимого, который должен был быть ключевым элементом защиты.
Функция «Load Remote Content» (Загрузка удаленного содержимого) в Evolution Mail призвана предотвратить автоматическую загрузку элементов из интернета при открытии письма, тем самым блокируя возможные каналы слежки и отслеживания пользователей. Однако практика показывает, что эта опция абсолютно неэффективна и, по всей видимости, уже несколько лет не работает должным образом. Подробный анализ email-сообщений с использованием HTML-кода выявил, что если в письме присутствует тег вида <link rel="dns-prefetch" href="https://trackingcode.attackersdomain.example.
com">, то при открытии такого письма Evolution Mail осуществляет запрос DNS к указанному серверу. Этот процесс происходит даже при отключенной опции загрузки удаленного содержимого и без дополнительных действий со стороны пользователя, таких как нажатие на кнопку загрузки. Что это означает на практике? Отправитель письма получает в своих DNS-логах информацию о том, что пользователь открыл сообщение. Более того, вместе с записью о запросе фиксируется IP-адрес DNS-резолвера, что может служить косвенным указанием на географическое расположение получателя. Таким образом, простое открытие письма становится инструментом для слежки и почти моментального получения сведений о местоположении пользователя.
В ответ на выявленную уязвимость разработчик программы обратился к поддержке Evolution Mail с баг-репортом, однако получил, мягко говоря, неутешительный ответ. Разработчики, по их словам, считают, что основная проблема лежит в библиотеке WebKitGTK, которая отвечает за рендеринг веб-контента в приложении. Более того, открытый баг был закрыт как дубликат другого обращения, связанного с похожим поведением программы, связанным с тегом <link href="trackingcode.attackersdomain.example.
com" rel="preconnect">. Этот конкретный тег запускает установку предварительного соединения с сервером, что приводит к фактическому обмену данными во время открытия письма, и это происходит независимо от настроек загрузки удаленного содержимого. Злоумышленники могут использовать TLS и анализировать SNI-заголовок, чтобы идентифицировать конкретного читателя, что является серьезным нарушением конфиденциальности. Помимо идентификации пользователя по SNI, фиксируется и его IP-адрес, то есть потенциально возможен сбор информации о местоположении и провайдере. Данная проблема является следствием более глубокой уязвимости в WebKit, существующей уже с августа 2023 года.
Эту уязвимость общественность знает, но она остается нерешенной и скорее всего в ближайшее время так и не будет исправлена, поскольку разработчики не проявляют высокой заинтересованности в устранении проблемы. Вместо активного исправления ошибок безопасности, автор блога настоятельно рекомендует подход с защитой на уровне контента. Это предполагает использование белых списков разрешенных HTML-тегов и их атрибутов, а также фильтрацию потенциально опасных элементов перед передачей HTML-кода в механизм рендеринга. Такой подход называется defense in depth — многоуровневая защита, которая могла бы минимизировать риски утечек информации через потенциально вредоносный код. К сожалению, крупные обновления и изменения, направленные на реализацию таких мер безопасности в Evolution Mail, вероятно, не предвидятся.
Разработчики либо не считают это приоритетом, либо недооценивают серьезность проблемы с приватностью пользователей. В результате пользователи остаются безэффективно защищенными и подвергаются риску слежки без их ведома. Что же делать, если вы цените конфиденциальность своего общения и не хотите, чтобы ваш IP-адрес и геолокация стали известны чужим людям без вашего разрешения? Прежде всего стоит рассмотреть возможность отказаться от использования Evolution Mail как почтового клиента и перейти на более защищенные альтернативы, которые предлагают системные и программные меры защиты от подобных утечек данных. Важно использовать почтовые программы и сервисы, в которых предусмотрена жесткая фильтрация HTML-контента и все виды удаленного загрузочного содержимого полностью контролируются и защищены. Дополнительно для поддержания анонимности можно использовать VPN-сервисы и DNS через зашифрованные протоколы, однако они не решают основной проблемы, если сам почтовый клиент передает данные о действиях пользователя через уязвимые механизмы.
В конечном итоге приватность в электронной почте — это комплексный процесс, который требует внимания как со стороны разработчиков почтовых клиентов, так и со стороны пользователей, которые должны внимательно выбирать инструменты для коммуникации. Пренебрежение вопросами безопасности приводит к тому, что можно стать объектом скрытого мониторинга и слежки, что неприменимо к современным ожиданиям цифровой безопасности. Эволюция угроз и способов обхода защиты стимулом к улучшению ПО до сих пор не стала мотиватором для создателей Evolution Mail. Поэтому осведомленность пользователей и готовность отказаться от непроверенных почтовых клиентов ради своего спокойствия и анонимности сейчас стали как никогда важными. Когда речь идет о приватности в сети, лучше перестраховаться, чем потом сожалеть о раскрытых данных и потерянном контроле над личной информацией.
Помните, что безопасность прежде всего зависит от вас и от того, насколько критично вы относитесь к выбору программных средств для ведения личной и профессиональной электронной переписки. Берегите свою приватность и используйте только проверенные и надежные решения, в которых вопросы безопасности стоят на первом месте.
