Google Calendar a rischio phishing per colpa di Gmail, ma la soluzione è semplice

L'integrazione di Gmail con il calendario di Google sta portando gli hacker a sviluppare una nuova, subdola, forma di phishing: nel calendario appaiono appuntamenti mai presi, che nascondono insidie per la sicurezza. Ecco come evitare che accada.

Avatar di Alessandro Crea

a cura di Alessandro Crea

Tramite un post sul blog ufficiale, Google ha finalmente ammesso ufficialmente di "essere a conoscenza di messaggi di spam che si verificano nell'applicazione Calendar" e di essere al lavoro per risolvere il problema. Ma di cosa parla esattamente Google? Forse non tutti lo sanno a meno che non ne abbiano già fatto esperienza. Sostanzialmente a causa dell'integrazione tra Gmail e Calendar, che consente agli utenti di aggiungere automaticamente sul calendario un evento al quale si è stati invitati via mail, malintenzionati possono inserire nel nostro calendario falsi inviti in maniera piuttosto semplice. Anche se la mail è stata catalogata come spam da Gmail infatti l'inserimento automatico degli appuntamenti basati su inviti non viene bloccato.

In questo modo, stando a Forbes, 1,5 miliardi di utenti sono potenzialmente esposti a rischio, mentre molti altri si sono trovati nel calendario notifiche di falsi eventi e offerte riconducibili a tentativi di phishing. Si tratta di una vulnerabilità assai grave perché se molti ormai stanno sempre più attenti a ciò che cliccano nella propria casella di posta elettronica, sono molti meno quelli che affrontano alla stessa maniera gli appuntamenti mostrati dal proprio calendario.

La vulnerabilità inoltre, stando sempre a quanto riporta Forbes, sarebbe stata scoperta da due ricercatori di Black Hills Information Security sin dal 2017, ma solo ora Google si sarebbe decisa ad ammetterne l'esistenza, impegnandosi anche nella risoluzione di quello che, però, secondo un portavoce Google, non può essere definito bug. "Gli inviti spam a calendario possono includere sia contenuti indesiderati che dannosi, volti a ingannare gli utenti analogamente alle e-mail di spam", tuttavia "non siamo a conoscenza di eventuali bug di sicurezza dovuti al software stesso. Pertanto, sarebbe fuorviante caratterizzare questo [problema] come una vulnerabilità tecnica di sicurezza. Google migliora costantemente la capacità di proteggere i nostri utenti da contenuti indesiderati e dannosi".

Prima o poi Google sistemerà la cosa ma nel frattempo è possibile mettersi al sicuro da questo problema in modo piuttosto semplice. È sufficiente infatti accedere alle impostazioni del calendario, selezionare la voce "Impostazioni evento" e disattivare la voce "aggiungi automaticamente gli inviti", selezionando invece la voce "no, mostra solo gli inviti a cui ho risposto". In questo modo non si perderà la comodità di trovarsi gli inviti ricevuti via mail direttamente in calendario, ma per ottenere questo risultato bisognerà aver risposto affermativamente all'invito ricevuto via mail.