Пользователи массово жаловались на проблему как минимум пару лет, но в Google отмалчивались или отвечали журналистам общей фразой о том, что в сервисах компании запрещено распространение вредоносного контента. Да и недавнее признание проблемы СМИ обнаружили чуть ли не случайно: это короткое, без подробностей, сообщение на официальном форуме поддержки сервиса «Календарь». В нем говорится, что Google в курсе проблемы и работает над решением, но ни даты, ни других подробностей нет. В соцсетях компании об этом тоже ни слова, если не считать однотипные ответы официального твиттера взволнованным пользователям.
Как это работает?
Спамеры создают в календаре мероприятие: выставляют дату, время и добавляют участников. Для этого нужна только почта жертвы. Даже если письмо с приглашением попадет с папку со спамом, само событие добавится в календарь и сможет забить, скажем, весь месяц рекламой фальшивого розыгрыша айфонов.
Поскольку все сервисы Google связаны в единую экосистему, спамерское сообщение отображается и в других приложениях, привязанных к его аккаунту. Сам по себе спам опасности для пользователя не несет, разве что раздражает своей назойливостью. Но если кликнуть на ссылку в нем, можно или подписаться на еще больше спама, или перейти на фишинговую или зараженную страницу.
Похожая проблема наблюдается с календарями от Microsoft и Apple: здесь тоже достаточно знать почту пользователя, чтобы отправить ему приглашение в мероприятие.
Что было до этого?
Об уязвимости известно с конца 2017 года. Исследовательская группа Black Hills рассказала о ней в своем блоге: экспертам удалось добавить вредоносную ссылку в мероприятие в Google-календаре. С помощью специальной программы они даже смогли обойти настройку календаря, которая запрещает отображать приглашения, на которые не ответил пользователь.
Google не стала закрывать уязвимость в защите календаря раньше из-за неудобств, которые обновление причинит пользователям сервиса, пишет Forbes. Ограничились советами: во-первых, помечайте все подозрительные ссылки в календаре как спам и удаляйте их; во-вторых, отключите автоматическую синхронизацию событий из почты. Правда, в этом случае в календаре перестанет работать часть функций.
О стихийном наплыве спама на российских пользователей в середине августа писал The Bell. Использовать для спама можно не только календарь. Злоумышленники делятся фотографиями с поддельными чеками и информацией о несуществующем вознаграждении в Google Photos и присылают отчеты Google Analytics с вредоносными ссылками внутри.
Как перестать видеть спам в органайзере?
- Зайти на страницу календаря Google
- Нажать на шестеренку в правом верхнем углу
- Далее «Настройки» — «Мероприятия из Gmail»
- Убрать галочку с пункта «Автоматически добавлять мероприятия из Gmail в мой календарь»