Google наконец признала проблемы со спамом в Календаре, на который пользователи жалуются уже два года. Что с ним делать?

В начале сентября 2019 года Google официально признала дыру в защите одного из своих сервисов — календаря. Злоумышленники массово захламляли органайзеры пользователей назойливой рекламой, минуя антиспам-фильтры.

Пользователи массово жаловались на проблему как минимум пару лет, но в Google отмалчивались или отвечали журналистам общей фразой о том, что в сервисах компании запрещено распространение вредоносного контента. Да и недавнее признание проблемы СМИ обнаружили чуть ли не случайно: это короткое, без подробностей, сообщение на официальном форуме поддержки сервиса «Календарь». В нем говорится, что Google в курсе проблемы и работает над решением, но ни даты, ни других подробностей нет. В соцсетях компании об этом тоже ни слова, если не считать однотипные ответы официального твиттера взволнованным пользователям.

Как это работает? 

Спамеры создают в календаре мероприятие: выставляют дату, время и добавляют участников. Для этого нужна только почта жертвы. Даже если письмо с приглашением попадет с папку со спамом, само событие добавится в календарь и сможет забить, скажем, весь месяц рекламой фальшивого розыгрыша айфонов.

Поскольку все сервисы Google связаны в единую экосистему, спамерское сообщение отображается и в других приложениях, привязанных к его аккаунту. Сам по себе спам опасности для пользователя не несет, разве что раздражает своей назойливостью. Но если кликнуть на ссылку в нем, можно или подписаться на еще больше спама, или перейти на фишинговую или зараженную страницу.

Похожая проблема наблюдается с календарями от Microsoft и Apple: здесь тоже достаточно знать почту пользователя, чтобы отправить ему приглашение в мероприятие.

Что было до этого?

Об уязвимости известно с конца 2017 года. Исследовательская группа Black Hills рассказала о ней в своем блоге: экспертам удалось добавить вредоносную ссылку в мероприятие в Google-календаре. С помощью специальной программы они даже смогли обойти настройку календаря, которая запрещает отображать приглашения, на которые не ответил пользователь.

Google не стала закрывать уязвимость в защите календаря раньше из-за неудобств, которые обновление причинит пользователям сервиса, пишет Forbes. Ограничились советами: во-первых, помечайте все подозрительные ссылки в календаре как спам и удаляйте их; во-вторых, отключите автоматическую синхронизацию событий из почты. Правда, в этом случае в календаре перестанет работать часть функций.

О стихийном наплыве спама на российских пользователей в середине августа писал The Bell. Использовать для спама можно не только календарь. Злоумышленники делятся фотографиями с поддельными чеками и информацией о несуществующем вознаграждении в Google Photos и присылают отчеты Google Analytics с вредоносными ссылками внутри.

Как перестать видеть спам в органайзере? 

  1. Зайти на страницу календаря Google
  2. Нажать на шестеренку в правом верхнем углу
  3. Далее «Настройки» — «Мероприятия из Gmail»
  4. Убрать галочку с пункта «Автоматически добавлять мероприятия из Gmail в мой календарь»
Google