O Google corrigiu um bug que permitia que convites do Google Agenda criados com códigos maliciosos assumissem remotamente os agentes da Gemini em execução no dispositivo do alvo e vazassem dados confidenciais do usuário.
O ataque se desenrolou sem exigir nenhum envolvimento do usuário além das interações típicas com o assistente, que ocorrem diariamente para os usuários do Gemini.
O Gemini é o assistente de modelo de linguagem grande (LLM) do Google integrado ao Android, aos serviços da Web do Google e aos aplicativos Workspace do Google, com acesso ao Gmail, Agenda e Google Home.
Ao enviar um convite de calendário com uma injeção de prompt incorporada, geralmente oculta no título do evento, os invasores podem potencialmente exfiltrar conteúdo de e-mail e informações do Calendário, rastrear a localização da vítima, controlar dispositivos domésticos inteligentes via Google Home, abrir aplicativos no Android e acionar chamadas de vídeo do Zoom.
O ataque foi demonstrado em um relatório por SafeBreach pesquisadores, que observaram que ele não requer acesso ao modelo de caixa branca e não foi bloqueado por filtragem imediata ou outras medidas de proteção no Gemini.
Você tem um convite
O ataque começou com um convite de evento do Google Agenda enviado ao alvo, com o título do evento contendo uma injeção indireta de prompt.
Uma vez que a vítima interage com Gêmeos, como perguntar “Quais são os meus eventos de calendário hoje,” O Gemini extrai a lista de eventos do Agenda, incluindo o título do evento malicioso que o invasor incorporou.
Isso se torna parte da janela de contexto do Gemini, e o assistente o trata como parte da conversa, incapaz de perceber que a instrução é hostil ao usuário.
Dependendo do prompt que o invasor usa, ele pode acionar ferramentas ou agentes para realizar a limpeza ou edição de eventos do Agenda, abrir um URL para recuperar o endereço IP do alvo, participar de uma chamada do Zoom, usar o Google Home para controlar dispositivos físicos ou acessar e-mails e extrair dados confidenciais do usuário.
Essa é uma desvantagem das amplas permissões do Gemini para executar ações entre as ferramentas, pois é exatamente daí que vem sua utilidade.
Uma coisa a notar é que o invasor pode precisar enviar seis convites do Calendário para que o ataque funcione, mantendo um certo nível de furtividade, incluindo apenas o prompt malicioso no último.
Isso ocorre porque a seção Eventos do calendário exibe apenas os cinco eventos mais recentes, com o restante escondido sob um botão ‘Mostrar mais’. Quando solicitado, porém, o Gemini analisará todos eles, incluindo o prompt malicioso.
Enquanto isso, o usuário não verá o título malicioso ou perceberá o comprometimento, a menos que expanda manualmente a lista de eventos no Calendário clicando em ‘Mostrar mais’.
Marco Figueroa destacou outro caso de um ataque de injeção de prompt facilmente alcançável visando a Gemini novamente, preparando o terreno para ataques de phishing convincentes contra o alvo.
O Google respondeu ao relatório afirmando que está continuamente lançando novas salvaguardas para a Gemini se defender contra uma ampla gama de ataques adversários, com muitas mitigações planejadas para implementação iminente ou já em algum estágio de implantação.
“Corrigimos esse problema antes que ele pudesse ser explorado graças ao excelente trabalho e divulgação responsável de Ben Nassi e equipe,” Andy Wen, diretor sênior de gerenciamento de produtos de segurança do Google Workspace, disse ao BleepingComputer.
“Sua pesquisa nos ajudou a entender melhor os novos caminhos de ataque e acelerou nosso trabalho para implantar novas defesas de ponta que agora estão em vigor protegendo os usuários. É um ótimo exemplo de por que a equipe vermelha e a colaboração entre setores são tão importantes.”
