Cuando un usuario añade una
dirección de Gmail como asunto al crear un evento en Google Calendar, el dueño
de esta dirección recibirá un recordatorio para unirse aunque la cita sea
privada.
Ayer mismo os hablábamos de un
bug que permitía a páginas malignas aprovecharse de la función de
reconocimiento de voz en Chrome para escuchar y, potencialmente, grabar
conversaciones privadas.
Y hoy nos llega información
sobre otra vulnerabilidad que también afecta a un producto de Google, aunque en
esta ocasión no se trata de su navegador web sino de su herramienta de
calendario.
Al parecer, en ciertas
ocasiones se envían recordatorios a otras personas para que se unan a “eventos”
o “reuniones” que han sido creados en Google Calendar como privados. Es decir,
dichos eventos o reuniones se convierten en citas dentro de sus propios
calendarios.
Esto sucede cuando alguien usa
Calendar desde la web, no desde el móvil, y añade una dirección de Gmail en el
asunto, según especifica en su blog una de las dos personas que ha detectado el
fallo, Terence Eden. También funcionaría con algunas direcciones de servicios
de correo electrónico ajenos.
Por fortuna, el gigante de
Mountain View ya estaría trabajando en una solución para evitar fugas de datos.
“Google ha tratado de ser inteligente aquí
[pero] ha fracasado”, denuncia Eden.
“El hecho de estar hablando de alguien no
significa que esté hablando con alguien”, continúa. “Aquí existen dos riesgos
principales: el usuario puede exponer su cuenta privada de Gmail y sus datos
asociados de Google+, y también podría revelar sus pensamientos y sentimientos
privados”.
Fuente: Silicon News