Badacze ominęli zabezpieczenia Google Gemini, używając instrukcji w języku naturalnym, tworząc zdarzenia wprowadzające w błąd i powodujące wyciek prywatnych danych Kalendarza. Ta metoda umożliwia ujawnienie poufnych danych atakującemu za pośrednictwem opisu wydarzenia w Kalendarzu. Gemini, asystent Google LLM, integruje się z usługami internetowymi Google i aplikacjami Workspace, takimi jak Gmail i Kalendarz. Atak z zaproszeniem do Kalendarza opartym na Gemini rozpoczyna się od wysłania do celu zaproszenia na wydarzenie zawierające w opisie ładunek natychmiastowy. Działania eksfiltracyjne uruchamiają się, gdy ofiara pyta Gemini o swój harmonogram. To powoduje, że asystent ładuje i analizuje wszystkie istotne zdarzenia, w tym to z ładunkiem atakującego. Badacze z Miggo Security, platformy wykrywania i reagowania na aplikacje (ADR), odkryli, że mogą oszukać Gemini i spowodować wyciek danych z Kalendarza, dostarczając instrukcje w języku naturalnym. Należały do nich: podsumowanie wszystkich spotkań danego dnia, w tym prywatnych; utworzenie nowego wydarzenia w kalendarzu z tym podsumowaniem; i odpowiadanie użytkownikowi nieszkodliwym komunikatem. Naukowcy wyjaśnili: „Ponieważ Gemini automatycznie pobiera i interpretuje dane o zdarzeniach jako przydatne, osoba atakująca, która może wpływać na pola zdarzeń, może umieścić instrukcje w języku naturalnym, które model może później wykonać”. Odkryli, że kontrolowanie pola opisu wydarzenia umożliwia osadzenie monitu, którego Google Gemini posłucha, nawet jeśli będzie to miało szkodliwy skutek. Ładunek złośliwego zaproszenia pozostaje uśpiony do czasu, aż ofiara zada Gemini rutynowe pytanie dotyczące harmonogramu. Po wykonaniu instrukcji zawartych w złośliwym zaproszeniu z Kalendarza Gemini tworzy nowe wydarzenie. Zapisuje podsumowanie prywatnego spotkania w opisie nowego wydarzenia. W wielu ustawieniach korporacyjnych zaktualizowany opis staje się widoczny dla uczestników wydarzenia, co może spowodować wyciek poufnych informacji do atakującego. Miggo zauważył, że Google stosuje oddzielny, izolowany model wykrywania złośliwych podpowiedzi w głównym asystencie Gemini. Jednak ich atak ominął to zabezpieczenie, ponieważ instrukcje wydawały się bezpieczne. Ataki typu „wstrzykiwanie” za pomocą złośliwych tytułów wydarzeń w Kalendarzu nie są niczym nowym. W sierpniu 2025 r. SafeBreach wykazał, że złośliwe zaproszenie do Kalendarza Google może wykorzystywać agentów Gemini do wycieku wrażliwych danych użytkownika. Poinformowała Liad Eliyahu, szefowa działu badań Miggo Błyszczący Komputer że nowy atak pokazuje, że zdolności rozumowania Gemini pozostają podatne na manipulację, mimo że Google wdrożyło dodatkowe zabezpieczenia po raporcie SafeBreach. Miggo udostępnił swoje ustalenia firmie Google, która od tego czasu dodała nowe rozwiązania łagodzące. Koncepcja ataku Miggo podkreśla złożoność przewidywania nowych modeli eksploatacji w systemach AI opartych na języku naturalnym o niejednoznacznych intencjach. Badacze sugerują, że bezpieczeństwo aplikacji musi ewoluować od wykrywania syntaktycznego do zabezpieczeń opartych na kontekście, aby wyeliminować te luki.
Source: Google łata krytyczną lukę Gemini, która zamieniała zaproszenia w wektory ataków
