Наряду с Gmail и Google Drive, компания Google предлагает своим пользователям сервис Google Календарь, предназначенный для планирования встреч, событий и дел. Напоминания о событиях можно получать по электронной почте и с помощью Push-уведомлений. В сервисе предусмотрена функция, которая автоматически добавляет в Календарь различные события, содержащиеся в теле письма. Эксперты Black Hills Information Security (BHIS) обнаружили интересную уязвимость, позволяющую обойти защиту и добавить событие в календарь без отправки электронного письма с помощью инструмента MailSniper. Как полагают исследователи, данная уязвимость, получившая название Event Injection, предлагает новую возможность для фишинга.
По словам специалистов, если аккаунт Google привязан к телефону жертвы, возможно сгенерировать уведомление о событии, которое отобразится непосредственно на устройстве, и будет отправлено в электронном письме. В рамках эксперимента исследователи создали событие якобы об общем корпоративном собрании, которое состоится чрез 10 минут. В тело события эксперты добавили ссылку на повестку дня, с которой должен ознакомиться каждый сотрудник. В действительности ссылка вела на фальшивую страницу авторизации Google, где пользователям требовалось ввести свои учетные данные для того, чтобы получить доступ к информации. Как отметили исследователи, данный метод оказался весьма успешным.
Для эксплуатации уязвимости сотрудники BHIS модифицировали инструмент MailSniper, добавив несколько новых модулей. Первый метод эксплуатации (Invoke-InjectGEvent) предполагает наличие учетных данных к аккаунту Google, второй (Invoke-InjectGEventAP) – предусматривает подключение непосредственно к Google API. Подробное описание обоих методов доступно в блоге исследователей.
Эксперты проинформировали Google об уязвимости 9 октября нынешнего года. 17 октября компания выпустила обновление, в котором были добавлены настройки, предотвращающие внедрение события в Календарь.
MailSniper – инструмент для поиска определенных терминов (паролей, внутренней информации, данных об архитектуре сети и пр.) в корпоративных или обычных электронных письмах. Также может использоваться администраторами сервиса Microsoft Exchange для просмотра почтовых ящиков любого пользователя в домене.

Источник: securitylab.ru