Il Google Calendar è pieno di spam, e la colpa è di Gmail. Dopo settimane di segnalazioni sull’anomala presenza di falsi inviti a falsi eventi, che i possessori degli account di posta elettronica hanno visto comparire nel Calendar, a Mountain View hanno riconosciuto pubblicamente il problema. Con un laconico messaggio Google ha ammesso di essere “al corrente sullo spam che si sta verificando in Calendar, e stiamo lavorando sodo per risolvere la questione”, per poi impegnarsi a fornire aggiornamenti sul caso.

Su che cosa stia accadendo fa un po’ più di chiarezza un articolo di The Independent, che tira le fila delle segnalazioni e discussioni comparse online ultimamente. Sui circa 1,5 miliardi di persone che, nel mondo, utilizzano Gmail e il relativo Calendar, potenzialmente tutti sono a rischio di spam e, indirettamente, a rischio di phishing e truffe di vario genere. All’orgine del problema c’è una vulnerabilità software che permette agli inviti ricevuti tramite email di comparire automaticamente nel Calendar, come se il destinatario li avesse letti, giudicati interessanti e inseriti in agenda. 

Il bug è noto da tempo era già stato segnalato nel 2017 da due ricercatori di Black Hills Information Security, una società di sicurezza del Sud Dakota. Intanto, però, in Silicon Valley nessuno ha pensato a sistemare la falla, visto che a distanza di un paio d’anni i più noti esperti di Kaspersky sono tornati sull’argomento, includendovi in realtà anche il problema dello spam in altri servizi della piattaforma cloud di Google (come Photos e Drive).

Come funzionano le truffe? Qualsiasi utente può invitare un altro a un “appuntamento” (reale o virtuale, per esempio una conferenza telefonico) attraverso Gmail, dunque anche un malintenzionato può farlo. Il destinatario riceve sullo smartphone una notifica pop-up, che può contenere un link diretto verso un (finto) sondaggio online o questionario. Con la promessa di rimborsi o incentivi in denaro, l’utente viene indotto a fornire numeri di carta di credito e dettagli bancari vari.

L’utilizzo di Google Calendar a fini malevoli è particolarmente subdolo, perché è tendenzialmente più efficace per un truffatore inserire un link di phishing all’interno di una casellina riempita di testo, anziché in un messaggio di posta elettronica che può essere filtrato dall’antispam o comunque letto con maggiore sospetto. Pensiamo anche che consultazione di posta elettronica e calendari avviene spesso da uno smartphone, su un piccolo schermo dove si interagisce a colpi di rapidi “tap” e dove è facile sbagliare. Inoltre è esperienza comune ricordarsi all’ultimo minuto di un appuntamento, proprio perché una notifica del Google Calendar inviata sulla posta di Gmail ce lo far tornare in mente giusto in tempo. Attenzione, dunque, a mettere in moto la memoria, almeno finché Google non avrà risolto il problema.