Impara ad aggiungere eventi al calendario… degli altri!
La “grande G” è una figura dominante in tanti settori dell’IT. I suoi servizi Web a volte (o quasi sempre) se ne fregano della privacy dell’utente, ma sono indubbiamente molto comodi. Tra questi servizi, Google Calendar è ormai secondo solo a Gmail per popolarità e diffusione. Una presenza così capillare nella vita quotidiana di milioni di persone offre, però, autentiche praterie per attacchi informatici di ogni genere. Un risorsa sin qui assai poco sfruttata dagli attaccanti, ma sembra che la pacchia sia finita.
La forza (e la debolezza) dell’interazione A creare problemi di sicurezza è stata la crescente integrazione tra i servizi di Google all’interno di G Suite, che include Documenti, Drive e altre app destinate all’ambito professionale. Se prima del 2015 ti fosse arrivata una mail che confermava la prenotazione per un ristorante, un volo o un evento, avresti dovuto aprirla su Gmail e creare manualmente l’evento in Calendar. A partire da tale data, invece, l’integrazione fra i due servizi ha fatto sì che, analizzando il contenuto dell’email, l’evento venisse aggiunto in automatico. Affinché i dati pertinenti vengano elaborati automaticamente, bisogna inserirli nel codice HTML da cui è costituita l’email rispettando uno schema di markup. Una tecnologia efficiente e comoda che, però, estende la superficie d’attacco a disposizione dei malintenzionati, offrendo loro un riferimento assai preciso per una contraffazione…
Se vuoi scoprire come funziona questa tecnica corri in edicola e acquista Hacker Journal 221. Oppure scegli la versione digitale su Sprea.it.
