Zależność pomiędzy Kalendarzem Google i Gmailem może stanowić źródło zagrożenia dla użytkowników pierwszej z aplikacji, narażając ich na ataki phishingowe i złośliwe oprogramowanie.
Bartosz Świątek
W SKRÓCIE:
Dziennikarze serwisu Tech Radar donoszą, że usługi Gmail oraz Kalendarz Google narażają użytkowników na tzw. atak phishingowy (mowa o podszywaniu się pod kogoś w celu wyłudzenia haseł lub innych wrażliwych danych). Programiści Google są świadomi istnienia problemu i pracują nad jego rozwiązaniem. Warto odnotować, że o zagrożeniu po raz pierwszy poinformowali eksperci firmy Black Hills Information Security i miało to miejsce w... listopadzie 2017 roku.
Sprawa najwyraźniej nie jest priorytetem dla koncernu z Mountain View. Co więcej, zdaniem firmy w ogóle nie można uznać omawianego niebezpieczeństwa za lukę w oprogramowaniu - to po prostu spam kalendarza, a podejrzane powiadomienia powinny być przez użytkowników traktowane równie ostrożnie, jak e-maile.
Spamowe zaproszenia w kalendarzu mogą zawierać zarówno niechciane, jak i złośliwe treści, które oszukują użytkowników, podobne do spamu w wiadomościach e-mail. Nie jesteśmy świadomi żadnych błędów bezpieczeństwa wynikających z samego oprogramowania. W związku z tym określanie tego jako technicznej luki bezpieczeństwa byłoby mylące - czytamy w oświadczeniu wysłanym redaktorom Tech Radar.
W czym leży problem? Źródłem zagrożenia jest sposób, w jaki konto Gmail współpracuje z aplikacją Google Calendar. W wiadomościach można wysyłać zaproszenia na wydarzenia, które automatycznie tworzą wpis w kalendarzu. Co gorsza, istnieje nawet sposób, by umieścić wydarzenie w kalendarzu innego użytkownika bez wysyłania mu e-maila - wystarczy, że dana osoba znajdzie się na liście gości danego wydarzenia, a jego autor zaznaczy opcję „Don’t Send”. Potencjalna ofiara otrzyma wyłącznie powiadomienie o wydarzeniu, w którym może znaleźć się np. link prowadzący do złośliwego oprogramowania. Według ekspertów Black Hills Information Security z funkcji korzystać mogą nawet osoby, które nie są naszymi znajomymi.
W ustawieniach Kalendarza Google znajdują się dwie funkcje, które pozwalają częściowo zabezpieczyć się przed potencjalnym atakiem. Przy opcji „Wydarzenia z Gmaila” należy odznaczyć pole „Dodawaj wydarzenia z Gmaila”, zaś funkcja „Automatyczne dodawanie zaproszeń” powinna zostać ustawiona na „Nie, pokazuj tylko zaproszenia, na które odpowiem”. Warto odnotować, że nie są to metody idealne - eksperci Black Hills Mountain wskazują, że przestępcy mogą wymusić zaakceptowanie zaproszenia przez Google API - dlatego warto zwracać uwagę na to, co wyświetla się w kalendarzu i dokładnie weryfikować informacje.
Więcej:iPhone 18 z jedną dużą zmianą, istotna funkcja zostanie ukryta pod szkłem
6
GRYOnline.pl:
tvgry.pl:
