Поряд з Gmail і Google Drive, компанія Google пропонує своїм користувачам сервіс Google Календар, призначений для планування зустрічей, подій і справ. Нагадування про події можна отримувати по електронній пошті і за допомогою Push-повідомлень. У сервісі передбачена функція, яка автоматично додає до Календаря різні події, що містяться в тілі листа. Експерти Black Hills Information Security (BHIS) виявили цікаву вразливість, що дозволяє обійти захист і додати подію в календар без відправлення електронного листа за допомогою інструменту MailSniper. Як вважають дослідники, дана уразливість, яка отримала назву Event Injection, пропонує нову можливість для фішингу.

За словами фахівців, якщо обліковий запис Google прив'язаний до телефону жертви, можливо згенерувати повідомлення про подію, що відобразиться безпосередньо на пристрої, і буде відправлено в електронному листі. В рамках експерименту дослідники створили подія нібито про загальний корпоративному зборах, які відбудуться через 10 хвилин. У тіло події експерти додали посилання на порядок денний, з якої повинен ознайомитися кожен співробітник. Насправді посилання вела на фальшиву сторінку авторизації Google, де користувачам потрібно ввести свої облікові дані для того, щоб отримати доступ до інформації. Як відзначили дослідники, даний метод виявився вельми успішним.

Для експлуатації уразливості співробітники BHIS модифікували інструмент MailSniper, додавши кілька нових модулів. Перший метод експлуатації (Invoke-InjectGEvent) передбачає наявність облікових даних облікового запису Google, другий (Invoke-InjectGEventAP) - передбачає підключення безпосередньо до Google API. Детальний опис обох методів є в блозі дослідників.

Експерти поінформували Google про уразливість 9 жовтня цього року. 17 жовтня компанія випустила оновлення, в якому були додані налаштування, що запобігають впровадження події в Календар.

MailSniper - інструмент для пошуку певних термінів (паролів, внутрішньої інформації, даних про архітектуру мережі та ін. ) В корпоративних або звичайних електронних листах. Також може використовуватися адміністраторами сервісу Microsoft Exchange для перегляду поштових скриньок будь-якого користувача в домені.