23°C 16°/ 24°
Linux · Internet · Segurança

Cuidado, o seu cliente de e-mail do Linux pode estar a revelar informação privada

15 Comentários

Um dos clientes de e-mail mais populares do Linux tem uma vulnerabilidade grave, que pode vazar as informações. O Evolution tem uma falha de segurança há meses, e a equipa de programadores não fez nada para resolver esta situação. O pior de tudo é que vem pré-instalado por defeito no GNOME, o que significa que está presente em muitas distribuições populares.

Linux email Evolution segurança


Segundo o que foi divulgado, o Evolution tem uma vulnerabilidade que pode revelar o endereço IP do utilizador e confirmar que este viu a mensagem. Mike Cardwell, um administrador de sistemas do Reino Unido, descobriu que certos e-mails podem desencadear consultas DNS, mesmo quando a opção “Carregar conteúdo remoto” está desativada.

O atacante precisa simplesmente de carregar uma tag HTML contendo código malicioso. Por exemplo, se incluir a etiqueta algures <img src=”trackingcode.attackersdomain.example.com/imagen.png” /> na mensagem, o Evolution não carregará a imagem, mas executará uma resolução DNS para o domínio. Isto porque o WebKitGTK, o motor de renderização utilizado pela aplicação no Linux, renderiza as tags HTML mesmo que o conteúdo remoto esteja bloqueado.

Ao abrir o e-mail, o servidor apresenta a consulta DNS nos seus logs. Esta consulta não só mostra que abriu a mensagem, como também pode revelar o seu endereço IP e, em alguns casos, a sua localização aproximada. A falha é grave, tendo em conta que o Evolution vem pré-instalado em distribuições Linux como o Fedora, Ubuntu, POP!_OS, Zorin e outras edições. Isto significa que milhares de utilizadores que o utilizam podem estar vulneráveis sem o saber.

Linux email Evolution segurança

Esta vulnerabilidade está ativa há quase dois anos e a equipa da Evolution ainda não a corrigiu. Cardwell sugeriu aos programadores que a aplicação filtrasse ou removesse as tags HTML maliciosas antes de exibir o conteúdo da mensagem ao utilizador. Infelizmente, os programadores rejeitaram o pedido e culparam o WebKitGTK, pelo que uma correção não será lançada em breve.

Embora uma das características mais notáveis do Evolution seja a segurança, a aplicação deixa a desejar neste caso. A única recomendação seria mudar para outro cliente de e-mail no Linux que bloqueie marcadores inseguros ou que tenha a sua própria renderização mais segura.

Uma alternativa é o Thunderbird , que não realiza consultas DNS ocultas e bloqueia conteúdos remotos. Outra opção é o Tuta Mail , um cliente de código aberto que permite a encriptação completa e já oferece encriptação pós-quântica. Por fim, o Proton é sempre uma das opções mais fiáveis, embora exija uma taxa.

Autor: Pedro Simões
Partilhar:
Tags:
email Evo/lution Linux Segurança
Este é o maior inimigo dos carros elétricos, segundo a Rivian. Não, não são os políticos…
Artigo anterior

Este é o maior inimigo dos carros elétricos, segundo a Rivian. Não, não são os políticos…
iServices abre a 68.ª loja em território nacional! Saiba onde fica
Próximo artigo

iServices abre a 68.ª loja em território nacional! Saiba onde fica
Também pode gostar
PUB

Comentários

15

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de saposomapuhc
    saposomapuhc

    O Outlook faz isso de minuto a minuto e o próprio thunderbird também a não ser que o configurem para ser um “vegetal”. BTW quem é que usa clientes de email nos dias de hoje?

    E nada que não se resolva ao usar uma vpn. Quer dizer, têm linux, têm cliente de email e depois usam isso abertos no vosso ip sem uma VPN? Não faz sentido!!!

    Responder
    1. Avatar de David Guerreiro
      David Guerreiro

      Quem usa? A maioria das empresas…

      Responder
    2. Avatar de Alfie
      Alfie

      Usam aqueles que querem ter as mensagens na sua máquina e não no servidor de correio.

      Responder
  2. Avatar de Tobias
    Tobias

    Thunderbird não realiza consultas DNS ocultas?
    Era bom era.
    Praticamente quase todo sofware faz consultas DNS aos mais variados dominios.
    Facil ver isso por via dos logs em tempo real de um resolver centralizado com forwarders
    como o Bind.

    Responder
  3. Avatar de Pedro António
    Pedro António

    Migração para o Windows. O Linux está cheio de distros, desleixo e falhas ocultas. São tantas as distros, cada uma delas a querer captar clientes, que é o caos….

    Responder
  4. Avatar de InBrain
    InBrain

    Só um aparte, porque se usa o termo “cliente de e-mail”, um cliente e’ alguém que adquire um bem ou serviço, um fornecedor e’ quem fornece o bem ou serviço. Há e tal, e’ linguagem técnica já adquirida… Bem, trata-se de uma troca flagrante de significados das palavras, e’ fornecedor e não cliente.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Ora aí está uma boa questão. Segundo as empresas que fornecem tais aplicações e plataformas, um cliente de email é um programa ou aplicação que permite enviar, receber, ler e organizar mensagens de correio eletrónico (email). Funciona como uma interface entre o utilizador e o servidor de email.

      Mas não será “fornecedor”?

      Não. A palavra “cliente de email” refere-se ao programa que o utilizador utiliza para aceder ao seu correio eletrónico, não ao fornecedor.

      Toma como exemplo o seguinte:
      – Cliente de email -> é a ferramenta ou aplicação (como o Outlook, Apple Mail, Thunderbird).
      – Fornecedor de email -> é o serviço que fornece a conta e o armazenamento de emails, como a Google (Gmail), Microsoft (Outlook.com), Yahoo, SAPO, etc.

      Ou seja: o fornecedor hospeda os emails, e o cliente permite ao utilizador interagir com eles.

      Neste caso em particular, o Evolution, trata-se de um cliente de email e calendário de código aberto, desenvolvido para sistemas Linux, especialmente ambientes GNOME. É muitas vezes comparado ao Microsoft Outlook, pois integra várias funcionalidades num só programa.

      Responder
      1. Avatar de João Sousa
        João Sousa

        Para ser mais correcto, a nomenclatura usada corresponde à tipologia tecnológica servidor/cliente (server/client) de um determinado serviço. Assim o serviço de “email” é provdiênciado/disponibilizado por um sistema servidor (server) e pode ser acedido através de uma aplicação cliente (client) de email – como são exemplos o Outlook, Evolution ou Thunderbird. Existem vários outros diferentes serviços que também usam esta tipologia e os respectivos sistemas servidores e aplicações clientes, por exemplo:
        – Email (POP3/IMAP4/SMTP);
        – FTP;
        – HTTP/HTTPS:
        – TELNET;
        – SSH;
        (etc.)

        Responder
    2. Avatar de Zé Fonseca A.
      Zé Fonseca A.

      Qualquer interface com funções que interajam com um servidor são clientes, devias deixar a caixa do pingo doce.. mas até na caixa do pingo doce tens um cliente que faz interface com servidores SAP.. imagina lá, são clientes para caixas de supermercado e nem sequer compraram nada.. WOW

      Responder
  5. Avatar de AnosdeLuz
    AnosdeLuz

    Basta entender o modelo cliente servidor. Noções básicas, do século passado, que se vão perdendo.
    https://pt.wikipedia.org/wiki/Modelo_cliente%E2%80%93servidor

    Responder
  6. Avatar de Sail
    Sail

    O Ubuntu traz o Thunderbird de origem, devido ao snaps. O Evolution tem de ser instalado pois é um pacote debian e não snaps.

    Responder
    1. Avatar de Fernando
      Fernando

      O Evolution Data Server vem instalado por predefinição com o GNOME.

      Responder
  7. Avatar de Nuno V
    Nuno V

    “A falha é grave, tendo em conta que o Evolution vem pré-instalado em distribuições Linux como o Fedora, Ubuntu, POP!_OS, Zorin e outras edições.”
    Das distros mencionadas, apenas o Zorin vêm com o Evolution instalado. O Ubuntu vêm com o Thunderbird e o Pop!_OS com o Geary. O Fedora nem sequer vêm com um cliente de e-mail instalado, deixando essa escolha para o utilizador.

    Responder
  8. Avatar de 9WaInJo11
    9WaInJo11

    Há décadas que o Linux não é seguro!

    Responder
    1. Avatar de AnosdeLuz
      AnosdeLuz

      Sugestão filtra por Linux e depois por Windows.
      https://www.cisa.gov/known-exploited-vulnerabilities-catalog

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.