Linux kullanıcılarının yıllardır tercih ettiği ve “Linux’un Outlook’u” olarak anılan Evolution e-posta istemcisi, ciddi bir gizlilik açığıyla gündemde. 2000 yılından bu yana geliştirilen ve GNOME masaüstü ortamının varsayılan uygulamalarından biri olan Evolution, IMAP, POP3 ve Microsoft Exchange desteğiyle oldukça güçlü bir çözüm sunuyor. Ancak güvenlik konusunda kullanıcıların sandığı kadar sağlam olmayabileceği ortaya çıktı.

Sistem yöneticisi Mike Cardwell’in ortaya çıkardığı bu güvenlik açığı, uygulamanın gizlilik ayarlarını kısmen devre dışı bırakabiliyor. Cardwell’in yaptığı testlere göre, kötü niyetle hazırlanmış bir e-posta mesajı içerisine basit bir HTML etiketi yerleştirildiğinde, Evolution istemcisi, kullanıcı “uzaktan içerik yükleme” seçeneğini kapatmış olsa bile otomatik olarak DNS sorgusu başlatıyor. Yani kullanıcı yalnızca mesajı açtığında bile, e-posta göndericisi bu erişimi fark edebiliyor ve hedefin IP adresine erişerek yaklaşık konum bilgilerine ulaşabiliyor.

Bu durum, teoride devre dışı bırakılmış olması gereken bir özelliğin, gerçekte çalışmaya devam ettiğini ve kullanıcıların farkında olmadan takip edildiğini gösteriyor. Üstelik bu takip sadece teknik bilgiye sahip saldırganlarla sınırlı değil; ticari e-posta göndericileri de benzer yöntemlerle kullanıcı davranışlarını analiz edebiliyor.

Cardwell, durumu Evolution geliştirici ekibine bildirdi. Ancak ekip, sorunun kendilerinden değil, uygulamanın HTML içeriğini işlemek için kullandığı WebKitGTK motorundan kaynaklandığını belirterek sorumluluğu üzerinden attı. Cardwell’in açtığı hata kaydı kapatılırken, benzer bir sorunla ilgili daha önce yapılmış ve hâlâ çözülmemiş başka bir rapora yönlendirildi. Söz konusu WebKitGTK hatası ise yaklaşık bir yıldır çözüme kavuşmuş değil.

Cardwell, bu sorunun çözülmesi için bir öneride de bulundu: Evolution istemcisi, yalnızca güvenli HTML etiketlerini içeren bir “beyaz liste” oluşturarak şüpheli içerikleri WebKit’e göndermeden önce filtreleyebilir. Bu tür bir önlem, istemci düzeyinde ek bir koruma katmanı sağlayabilir. Ancak geliştirici ekip bu öneriye şu ana kadar olumlu bir yaklaşım göstermedi.

Gizliliğine önem veren kullanıcılara Evolution’dan uzak durmalarını tavsiye eden Cardwell, geliştirici ekibin bu sorunu yeterince ciddiye almamasının kendisi için hayal kırıklığı olduğunu belirtiyor. Özellikle Evolution’un, GNOME ile birlikte Fedora gibi büyük dağıtımlarda öntanımlı olarak gelmesi, bu açığın potansiyel etkisini daha da büyütüyor.