- Gli abbonamenti al calendario possono essere dirottati, iniettando collegamenti di phishing o malware negli orari degli utenti.
- Bitsight ha riscontrato 347 domini che colpiscono circa 4 milioni di dispositivi, principalmente negli Stati Uniti.
- Non si tratta di un bug, ma di una funzionalità rischiosa; gli utenti devono gestire gli abbonamenti con cautela.
Secondo alcuni ricercatori, una comoda funzionalità presente nelle più popolari applicazioni di calendario può essere abusata per indurre le persone a cliccare su link dannosi o a divulgare informazioni sensibili.
La maggior parte delle applicazioni di calendario più diffuse consente agli utenti di iscriversi a calendari esterni, permettendo a terze parti, come aziende o organizzazioni, di aggiungere eventi direttamente nell'agenda degli abbonati. Questo può riguardare praticamente qualsiasi cosa, da sconti ed eventi promozionali a eventi pubblici, festività e altro ancora.
Tuttavia, se un'azienda chiude o il suo dominio scade, l'abbonamento al calendario non scade con esso. Se un cybercriminale riesce a ottenere il dominio, può aggiungere eventi direttamente nei calendari delle persone, inclusi link a pagine di phishing o a siti che ospitano malware. Lo stesso vale per le aziende la cui infrastruttura è stata dirottata o violata.
Rischi professionali
A sostenerlo sono i ricercatori di sicurezza di Bitsight, i quali affermano che si tratta di un problema reale che attualmente colpisce circa quattro milioni di dispositivi, poiché gli attacchi abusano della fiducia che le persone ripongono in diversi marchi e organizzazioni.
"La nostra ricerca è iniziata con un singolo dominio che abbiamo messo in sinkhole, registrando 11.000 indirizzi IP unici al giorno", hanno spiegato gli esperti. "Questo dominio funzionava come server per un calendario in abbonamento che distribuiva eventi relativi alle festività pubbliche e scolastiche tedesche, e questo ha attirato la nostra attenzione. Perché un dominio per le festività tedesche, con file .ics, era disponibile?"
Hanno finito per scoprire 347 domini, tra cui eventi FIFA 2018, calendari Hijri islamici e altri, collegati a circa quattro milioni di indirizzi IP unici, la maggior parte dei quali si trovava negli Stati Uniti.
Bitsight sottolinea che questa non è una vulnerabilità o un bug nelle app di calendario. È semplicemente una funzionalità che comporta rischi intrinseci e, come tale, dovrebbe essere gestita dagli utenti finali. Hanno anche aggiunto che la cifra di quattro milioni di possibili bersagli è una grave sottostima, poiché copre solo una frazione dell'ecosistema iPhone e non include nemmeno Android.
Questo evidenzia un rischio di sicurezza che può colpire anche i dispositivi personali, rendendo importante l'uso di migliori VPN per Android e per altri sistemi operativi per proteggere la propria navigazione.