Aggiornamenti recenti Aprile 14th, 2026 4:46 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Donne e cybersecurity: crescono le nuove leve e alcune sfide
- Social media vietati ai minori? In Australia non sta funzionando
- CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor
- Claude Mythos: secretato perché troppo bravo a scovare vulnerabilità
- APT28 colpisce i router per dirottare il DNS e rubare credenziali
Un invito Google Calendar bastava per prendere il controllo di Gemini
Una vulnerabilità in Google Calendar consentiva a un attaccante di compromettere a distanza l’assistente Gemini — l’LLM di Google — sfruttando un semplice invito a un evento. La falla, individuata dai ricercatori di SafeBreach, permetteva di esfiltrare dati personali, controllare dispositivi smart home e persino avviare applicazioni sullo smartphone della vittima, il tutto senza che l’utente facesse nulla di anomalo.
L’attacco: prompt injection nascosto nel titolo di un evento
Il meccanismo sfruttava un prompt injection indiretto inserito nel titolo di un evento Google Calendar. Una volta che la vittima chiedeva a Gemini qualcosa di banale, come “Quali sono i miei eventi di oggi?”, l’assistente recuperava l’elenco dal calendario, includendo il titolo malevolo.
Il testo malevolo veniva così interpretato da Gemini come un’istruzione legittima, senza che il modello fosse in grado di distinguere tra contenuto innocuo e comando ostile. In questo modo, un cybercriminale poteva ordinare all’LLM di accedere alle email e estrarre informazioni sensibili; cancellare o modificare eventi sul calendario, aprire URL per ottenere l’indirizzo IP della vittima, avviare videochiamate su Zoom, controllare dispositivi domestici connessi tramite Google Home.
Nessuna interazione “sospetta” richiesta
Secondo i ricercatori, non era necessario alcun accesso privilegiato al modello e le protezioni integrate, come il filtro dei prompt, non impedivano l’attacco. L’unico requisito era che l’evento malevolo fosse incluso tra quelli letti da Gemini.
Per aumentare la furtività, l’attaccante poteva inviare sei inviti in sequenza, nascondendo quello malevolo tra i più vecchi: infatti, Google Calendar mostra solo i cinque eventi più recenti, mentre gli altri restano nascosti dietro al tasto “Mostra altro”. Gemini, tuttavia, li legge tutti quando interroga il calendario.
In pratica, la vittima non vedeva il titolo malevolo a meno che non espandesse manualmente la lista eventi.
Un problema ricorrente per Gemini
Non è la prima volta che l’assistente AI di Google è vulnerabile a questo tipo di attacco. Lo scorso mese, Marco Figueroa di Mozilla aveva segnalato un altro caso di prompt injection capace di preparare campagne di phishing mirato.
Questa nuova dimostrazione evidenzia il rischio intrinseco di dare a un LLM permessi estesi e capacità di azione trasversali su più servizi. È proprio questa integrazione profonda a renderlo utile — e al tempo stesso a esporlo ad abusi potenzialmente devastanti.
La risposta di Google
Google ha confermato di aver corretto la vulnerabilità prima che potesse essere sfruttata attivamente, ringraziando Ben Nassi e il team di SafeBreach per la responsible disclosure.
“La loro ricerca ci ha permesso di comprendere meglio nuovi vettori di attacco e accelerare il rilascio di difese all’avanguardia ora già operative per proteggere gli utenti”, ha dichiarato Andy Wen, senior director per la sicurezza di Google Workspace. “È un ottimo esempio dell’importanza del red-teaming e della collaborazione tra settori”.
Google ha inoltre ribadito di essere al lavoro su nuove misure di mitigazione per proteggere Gemini da attacchi avversariali sempre più sofisticati.
Condividi l'articolo
- AI security, furto dati, Gemini, Google Calendar, google workspace, prompt injection, SafeBreach, sicurezza informatica, Smart Home, vulnerabilità
Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Donne e cybersecurity: crescono le nuove leve e alcune La cybersecurity italiana continua a crescere, ma la... -
Social media vietati ai minori? In Australia non sta... Qualcuno ricorderà che qualche mese fa è stato annunciato... -
CPUID compromesso: malware nei download ufficiali di CPU-Z... Un attacco alla catena di distribuzione ha colpito il... -
Claude Mythos: secretato perché troppo bravo a scovare... L’annuncio di Anthropic sembrerebbe una trovata di... -
APT28 colpisce i router per dirottare il DNS e rubare... Secondo un’analisi pubblicata dal National Cyber Security...
Ransomware: la serie
No posts found.