Funkcja Kalendarza Google może służyć rozprzestrzenianiu wirusów

Zależność pomiędzy Kalendarzem Google i Gmailem może stanowić źródło zagrożenia dla użytkowników pierwszej z aplikacji, narażając ich na ataki phishingowe i złośliwe oprogramowanie.

Google Calendar może nie być w pełni bezpieczny.

W SKRÓCIE:

zależność pomiędzy Gmailem i Kalendarzem Google umożliwia wysyłanie użytkownikom fałszywych powiadomień o wydarzeniach;
spam może zawierać linki ze szkodliwym oprogramowaniem;
problem da się ograniczyć zmieniając kilka ustawień kalendarza.

Dziennikarze serwisu Tech Radar donoszą, że usługi Gmail oraz Kalendarz Google narażają użytkowników na tzw. atak phishingowy (mowa o podszywaniu się pod kogoś w celu wyłudzenia haseł lub innych wrażliwych danych). Programiści Google są świadomi istnienia problemu i pracują nad jego rozwiązaniem. Warto odnotować, że o zagrożeniu po raz pierwszy poinformowali eksperci firmy Black Hills Information Security i miało to miejsce w... listopadzie 2017 roku.

It’s not a bug, it’s a feature

Sprawa najwyraźniej nie jest priorytetem dla koncernu z Mountain View. Co więcej, zdaniem firmy w ogóle nie można uznać omawianego niebezpieczeństwa za lukę w oprogramowaniu - to po prostu spam kalendarza, a podejrzane powiadomienia powinny być przez użytkowników traktowane równie ostrożnie, jak e-maile.

Spamowe zaproszenia w kalendarzu mogą zawierać zarówno niechciane, jak i złośliwe treści, które oszukują użytkowników, podobne do spamu w wiadomościach e-mail. Nie jesteśmy świadomi żadnych błędów bezpieczeństwa wynikających z samego oprogramowania. W związku z tym określanie tego jako technicznej luki bezpieczeństwa byłoby mylące - czytamy w oświadczeniu wysłanym redaktorom Tech Radar.

W sieci łatwo zostać złapanym na haczyk.

W czym leży problem? Źródłem zagrożenia jest sposób, w jaki konto Gmail współpracuje z aplikacją Google Calendar. W wiadomościach można wysyłać zaproszenia na wydarzenia, które automatycznie tworzą wpis w kalendarzu. Co gorsza, istnieje nawet sposób, by umieścić wydarzenie w kalendarzu innego użytkownika bez wysyłania mu e-maila - wystarczy, że dana osoba znajdzie się na liście gości danego wydarzenia, a jego autor zaznaczy opcję „Don’t Send”. Potencjalna ofiara otrzyma wyłącznie powiadomienie o wydarzeniu, w którym może znaleźć się np. link prowadzący do złośliwego oprogramowania. Według ekspertów Black Hills Information Security z funkcji korzystać mogą nawet osoby, które nie są naszymi znajomymi.

Jak się obronić?

W ustawieniach Kalendarza Google znajdują się dwie funkcje, które pozwalają częściowo zabezpieczyć się przed potencjalnym atakiem. Przy opcji „Wydarzenia z Gmaila” należy odznaczyć pole „Dodawaj wydarzenia z Gmaila”, zaś funkcja „Automatyczne dodawanie zaproszeń” powinna zostać ustawiona na „Nie, pokazuj tylko zaproszenia, na które odpowiem”. Warto odnotować, że nie są to metody idealne - eksperci Black Hills Mountain wskazują, że przestępcy mogą wymusić zaakceptowanie zaproszenia przez Google API - dlatego warto zwracać uwagę na to, co wyświetla się w kalendarzu i dokładnie weryfikować informacje.