Aggiornamenti recenti Agosto 11th, 2025 2:06 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
- Anche Google vittima della campagna di ShinyHunters
- ReVault: vulnerabilità nei laptop Dell bypassano il login di Windows
Un invito Google Calendar bastava per prendere il controllo di Gemini
Una vulnerabilità in Google Calendar consentiva a un attaccante di compromettere a distanza l’assistente Gemini — l’LLM di Google — sfruttando un semplice invito a un evento. La falla, individuata dai ricercatori di SafeBreach, permetteva di esfiltrare dati personali, controllare dispositivi smart home e persino avviare applicazioni sullo smartphone della vittima, il tutto senza che l’utente facesse nulla di anomalo.
L’attacco: prompt injection nascosto nel titolo di un evento
Il meccanismo sfruttava un prompt injection indiretto inserito nel titolo di un evento Google Calendar. Una volta che la vittima chiedeva a Gemini qualcosa di banale, come “Quali sono i miei eventi di oggi?”, l’assistente recuperava l’elenco dal calendario, includendo il titolo malevolo.
Il testo malevolo veniva così interpretato da Gemini come un’istruzione legittima, senza che il modello fosse in grado di distinguere tra contenuto innocuo e comando ostile. In questo modo, un cybercriminale poteva ordinare all’LLM di accedere alle email e estrarre informazioni sensibili; cancellare o modificare eventi sul calendario, aprire URL per ottenere l’indirizzo IP della vittima, avviare videochiamate su Zoom, controllare dispositivi domestici connessi tramite Google Home.
Nessuna interazione “sospetta” richiesta
Secondo i ricercatori, non era necessario alcun accesso privilegiato al modello e le protezioni integrate, come il filtro dei prompt, non impedivano l’attacco. L’unico requisito era che l’evento malevolo fosse incluso tra quelli letti da Gemini.
Per aumentare la furtività, l’attaccante poteva inviare sei inviti in sequenza, nascondendo quello malevolo tra i più vecchi: infatti, Google Calendar mostra solo i cinque eventi più recenti, mentre gli altri restano nascosti dietro al tasto “Mostra altro”. Gemini, tuttavia, li legge tutti quando interroga il calendario.
In pratica, la vittima non vedeva il titolo malevolo a meno che non espandesse manualmente la lista eventi.
Un problema ricorrente per Gemini
Non è la prima volta che l’assistente AI di Google è vulnerabile a questo tipo di attacco. Lo scorso mese, Marco Figueroa di Mozilla aveva segnalato un altro caso di prompt injection capace di preparare campagne di phishing mirato.
Questa nuova dimostrazione evidenzia il rischio intrinseco di dare a un LLM permessi estesi e capacità di azione trasversali su più servizi. È proprio questa integrazione profonda a renderlo utile — e al tempo stesso a esporlo ad abusi potenzialmente devastanti.
La risposta di Google
Google ha confermato di aver corretto la vulnerabilità prima che potesse essere sfruttata attivamente, ringraziando Ben Nassi e il team di SafeBreach per la responsible disclosure.
“La loro ricerca ci ha permesso di comprendere meglio nuovi vettori di attacco e accelerare il rilascio di difese all’avanguardia ora già operative per proteggere gli utenti”, ha dichiarato Andy Wen, senior director per la sicurezza di Google Workspace. “È un ottimo esempio dell’importanza del red-teaming e della collaborazione tra settori”.
Google ha inoltre ribadito di essere al lavoro su nuove misure di mitigazione per proteggere Gemini da attacchi avversariali sempre più sofisticati.
Condividi l'articolo
- AI security, furto dati, Gemini, Google Calendar, google workspace, prompt injection, SafeBreach, sicurezza informatica, Smart Home, vulnerabilità
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi... -
Anche Google vittima della campagna di ShinyHunters Una nuova ondata di attacchi mirati ai sistemi CRM -
ReVault: vulnerabilità nei laptop Dell bypassano il login... Un gruppo di vulnerabilità nel firmware ControlVault3...
Ransomware: la serie
No posts found.