Google ha pubblicato una nota nel blog ufficiale in cui ammette di “essere a conoscenza di messaggi di spam che si verificano nell’applicazione Calendar” e di essere al lavoro per risolvere il problema. Il messaggio è piuttosto criptico, a spiegare meglio di che cosa si tratta ci ha pensato il giornalista Davey Winder di Forbes. Tutto è cominciato con l’integrazione dei servizi di Gmail e Calendar, che permette agli utenti di aggiungere automaticamente sul calendario un evento al quale si è stati invitati via mail. Chi lo usa avrà notato, ad esempio, che quando arriva la mail di conferma della prenotazione di un biglietto del treno, il viaggio appare automaticamente nel calendario.
È una comodità, ma c’è un inconveniente fastidioso: se una mail che è stata catalogata come spam ha un contenuto “mascherato” da invito, questo viene inserito comunque nel calendario collegato all’ignaro utente di Gmail, in barba ai sofisticati filtri antispam. È così che molti utenti (secondo Forbes sarebbero a rischio 1,5 miliardi di persone) si sono trovati messaggi di spam come notifiche a calendario.
In molti casi più che un disagio è un problema di sicurezza, perché i messaggi spesso includono false offerte riconducibili a tentativi di phishing. Quasi tutti gli utenti ormai stanno in guardia contro le truffe via mail, pochi guardano con lo stesso sentimento gli appuntamenti nel proprio calendario personale, su cui è probabile che l’utente faccia clic senza pensarci. In buona sostanza, sfruttando questa vulnerabilità gli hacker avrebbero vita più facile nell’accaparrarsi in modo truffaldino le credenziali di accesso degli utenti.
Stando a quanto riportato da Forbes, la vulnerabilità sarebbe stata scoperta da due ricercatori per la sicurezza di Black Hills Information Security nel lontano 2017, ma solo ora Google avrebbe ammesso la sua esistenza. Un portavoce di Google Cloud ha risposto all’articolo di Forbes dichiarando che “gli inviti spam a calendario possono includere sia contenuti indesiderati che dannosi, volti a ingannare gli utenti analogamente alle e-mail di spam”, tuttavia “non siamo a conoscenza di eventuali bug di sicurezza dovuti al software stesso. Pertanto, sarebbe fuorviante caratterizzare questo [problema] come una vulnerabilità tecnica di sicurezza. Google migliora costantemente la capacità di proteggere i nostri utenti da contenuti indesiderati e dannosi”.
A prescindere da quando sarà diffuso l’aggiornamento di Google, per evitare problemi si consiglia di accedere alle impostazioni del calendario (tramite l’icona a forma di ingranaggio), selezionare la voce “Impostazioni evento” e disattivare la voce “aggiungi automaticamente gli inviti”. Al posto suo è meglio impostare quella “no, mostra solo gli inviti a cui ho risposto”. La comodità di trovarsi gli inviti ricevuti via mail direttamente nel calendario non decadrà, ammesso che si risponda affermativamente agli inviti che si ricevono.