Wanneer het aankomt op e-mailclients, denken velen direct aan Outlook — een gevestigde naam binnen Windows. Maar op Linux is Evolution een veelgebruikte en al jaren bestaande keuze. Sinds zijn ontstaan in 2000 heeft het zich ontwikkeld tot meer dan enkel een e-mailprogramma: het is een complete persoonlijke informatiebeheerder (PIM), vergelijkbaar met Outlook. Evolution ondersteunt talloze protocollen zoals IMAP, POP en zelfs Microsoft Exchange, wat het een krachtige tool maakt voor de Linux-gebruiker.
Een belangrijke reden waarom veel mensen voor Evolution kiezen, is de focus op beveiliging en privacy. Gebruikers kunnen ervoor kiezen om e-mails standaard als platte tekst te bekijken, GPG-versleuteling toe te passen en het laden van externe inhoud — waaronder trackingpixels — te blokkeren. Die laatste functie staat bekend als “Load Remote Content” en zou moeten voorkomen dat spammers en marketeers kunnen zien of je een e-mail geopend hebt.
Toch blijkt dat vertrouwen niet geheel terecht. Een systeembeheerder uit het Verenigd Koninkrijk, Mike Cardwell, ontdekte een ernstig privacyprobleem in Evolution. Volgens Cardwell kan een kwaadwillende afzender via een eenvoudige HTML-tag in een e-mail ervoor zorgen dat Evolution een DNS-verzoek uitvoert op het moment dat je het bericht opent. Dit gebeurt zelfs als je de functie “Load Remote Content” uitgeschakeld hebt.
Concreet betekent dit dat de afzender via serverlogs kan achterhalen dat je het bericht gelezen hebt, en — belangrijker nog — mogelijk je IP-adres kan zien. Hierdoor wordt je locatie (of in elk geval je DNS-provider) zichtbaar, wat een directe schending is van je privacyverwachtingen.
Cardwell meldde dit probleem bij het ontwikkelteam van Evolution, maar kreeg naar eigen zeggen een afwijzende reactie. De ontwikkelaars wezen naar WebKitGTK — de webweergave-engine die Evolution gebruikt — als de verantwoordelijke partij. Zijn bugrapport werd gesloten en gekoppeld aan een eerder ingediend ticket uit april 2024, waarin een vergelijkbaar probleem werd aangekaart. Dat ticket is op zijn beurt gebaseerd op een WebKit-bug uit augustus 2023. Tot op heden is er geen indicatie dat deze kwetsbaarheid binnenkort opgelost zal worden.
Als suggestie deed Cardwell een voorstel: Evolution zou vooraf e-mails kunnen filteren op onveilige HTML-tags, bijvoorbeeld door een veilige whitelist te hanteren en potentieel gevaarlijke elementen te verwijderen voordat de inhoud wordt weergegeven. Een simpele maar effectieve vorm van “defense-in-depth”. Helaas lijkt het er niet op dat het ontwikkelteam hier iets mee gaat doen.
Cardwell raadt gebruikers die hun privacy serieus nemen dan ook aan om Evolution links te laten liggen en over te stappen op een andere, veiligere e-mailclient. Zijn kritiek is niet alleen gericht op de technische kwetsbaarheid, maar vooral op de houding van de ontwikkelaars: het feit dat zij de verantwoordelijkheid voor deze lekken van zich afschuiven, baart hem grote zorgen.
Aangezien Evolution standaard wordt meegeleverd met GNOME — een van de populairste Linux-desktopomgevingen — draait het op duizenden systemen, vaak zonder dat gebruikers weten dat hun privacy in gevaar is. Linuxgebruikers wordt daarom aangeraden kritisch te kijken naar de software die ze vertrouwen, zeker als het om persoonlijke communicatie gaat.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack