Il difetto di sicurezza scovato consente ai cyber criminali di sfruttare le impostazioni predefinite dell’applicazione. Quest’ultima aggiunge automaticamente i promemoria di inviti ad eventi sul Calendario, se inviati/accettati via email. Gli inviti vengono quindi visualizzati tramite un’apposita notifica. Cliccando su tale notifica si è reindirizzati ad una pagina, che sembra ufficiale pur non essendolo, in cui inserire i propri dati personali.
“Siamo a conoscenza dello spam che si verifica in Google Calendar e stiamo lavorando diligentemente per risolvere questo problema“. Google ha parlato anche di ciò che tutti dovrebbero fare nel caso in cui vedano un invito sospetto nella loro posta in arrivo. L’azienda consiglia ai destinatari di segnalare l’evento come spam. In tal modo l’app rimuoverà tutti gli eventi di quell’organizzatore dal calendario.
Circa 1,5 miliardi di persone in 143 paesi utilizzano le app Gmail e Calender di Google. La falsa truffa su invito tramite email è stata scoperta per la prima volta dai ricercatori sulla sicurezza nel 2017, ma Google sta affrontando solo ora il problema. La Black Hills Information Security ha pubblicato due anni fa i dettagli dell’exploit in un dettagliato post sul blog, descrivendo come i controlli di sicurezza progettati per prevenire tali attacchi potessero essere facilmente aggirati.
Forse l’elemento più interessante dell’app del calendario è che può avvisarti con urgenza quando hai un impegno. Quindi se arriva una notifica di qualche evento in programma, non ci fai caso che potrebbe essere sospetta. Questa è stata la strategia vincente di questi cyber-attacchi. I collegamenti all’interno dell’email con l’evento, o della notifica, porteranno quindi le vittime a una pagina di autenticazione Google falsa. Quest’ultima acquisirà tutte le credenziali.