IT之家 7 月 19 日消息，科技媒体 NeoWin 昨日（7 月 19 日）发布博文，报道称系统管理员 Mike Cardwell 曝光 Evolution 邮件客户端存在隐私问题，DNS 预取功能会泄露用户活动。

IT之家注：Evolution 是 GNOME 桌面环境的官方个人信息管理器和邮件客户端，集成邮件、日历和地址簿功能，方便用户管理电子邮件、日历、联系人和任务等。

Cardwell 指出在 Evolution 客户端中，电子邮件可以包含一个带有 rel 属性设置为 dns-prefetch 的链接 HTML 标签，并且 href 属性中包含一个跨域，用于告诉浏览器或邮件客户端预先解析该域的 IP 地址。

通常，对于任何远程内容，Evolution 使用的 Web 渲染引擎 WebKitGTK 应该发出一个名为 WebPage::send-request 的信号，并根据“加载远程内容”设置决定是否阻止连接，该设置禁用时应该阻止追踪器和其他不良内容。

不过其中的问题是，WebKit 并不发送该信号，而是直接进行 DNS 查询。这完全绕过了 Evolution 的隐私防护措施。因此，发件人可以不需要收件方同意，可以看到收件方是否打开了他们的邮件、何时打开。

Cardwell 后续还挖掘发现，利用该漏洞，不仅可以知道以及 DNS 解析器的 IP 地址，而且还能知道用户的实际 IP 地址。

不过 GNOME 开发者并不认同这个漏洞，一位开发者指责他在博客上“抹黑项目”，称其“自以为是”，并认为他的报告是“适得其反且令人沮丧的”。