Un gruppo di ricercatori ha scoperto una vulnerabilità preoccupante nell’integrazione tra Google Calendar e l’assistente AI Gemini. La falla permetterebbe infatti ai malintenzionati di accedere a informazioni riservate sugli appuntamenti degli utenti attraverso un semplice invito al calendario, senza che la vittima si accorga di nulla.
La scoperta arriva in un momento piuttosto importante per Google, che ha recentemente potenziato le capacità di Gemini, permettendogli di lavorare su più calendari contemporaneamente e non solo su quello principale.
Una funzionalità pensata per rendere il servizio più utile, ma che secondo i ricercatori di Miggo Security apre le porte a un nuovo tipo di attacco informatico particolarmente insidioso.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Un attacco invisibile che si cela in un semplice invito
Tra i motivi che rendono questa vulnerabilità particolarmente pericolosa c’è la sua semplicità e invisibilità.
Non servono infatti malware, virus o link sospetti. L’attacco si nasconde invece all’interno di un normale invito di Google Calendar, che risulta essere indistinguibile da qualsiasi altro appuntamento che potremmo ricevere quotidianamente.
Il meccanismo è dunque piuttosto semplice. Il malintenzionato invia alla vittima un invito al calendario che contiene nella descrizione dell’evento un testo scritto con cura, privo di errori grammaticali e incongruenze.
Agli occhi di un utente normale, dunque, questo testo appare innocuo, ma Gemini lo interpreta come un comando in linguaggio naturale. L’invito viene accettato e aggiunto al calendario, dove rimane in attesa senza dare alcun segnale di allarme.
Il problema emerge in un secondo momento. Ovvero, quando l’utente interagisce con Gemini ponendo una domanda come Sono libero sabato?. In quel momento, l’assistente AI analizza tutti gli eventi presenti nel calendario per fornire una risposta, incluso quello contenente le istruzioni nascoste. Ed è proprio allora che scatta la minaccia.
Segui Google su Telegram, ricevi news e offerte per primo
Come funziona il furto di dati
Durante i test condotti da Miggo Security, Gemini ha seguito le istruzioni nascoste nell’invito malevolo senza che l’utente ne fosse consapevole. L’assistente AI ha raccolto un riepilogo dettagliato di tutti gli incontri programmati per un determinato giorno, ha creato un nuovo evento nel calendario e ha inserito tutte queste informazioni riservate nella descrizione del nuovo appuntamento.
Nel frattempo, all’utente viene fornita una risposta alla sua domanda, senza alcun indizio che qualcosa di anomalo sia accaduto. Il nuovo evento creato, contenente tutti i dettagli privati degli appuntamenti dell’utente, diventa così visibile all’aggressore, che può accedere a informazioni potenzialmente sensibili su riunioni di lavoro, appuntamenti medici o incontri personali.
Google corre ai ripari, ma il problema rimane
Miggo Security ha seguito le procedure previste, informando tempestivamente Google della vulnerabilità scoperta. L’azienda di Mountain View ha risposto implementando nuove protezioni progettate per bloccare questo tipo di attacco.
Tuttavia, la questione solleva interrogativi più ampi sulla sicurezza delle funzionalità di intelligenza artificiale integrate nei servizi quotidiani.
In particolare, secondo Liad Eliyahu, responsabile della ricerca presso Miggo, questa non è la prima volta che Google Calendar viene utilizzato come vettore per attacchi basati su prompt injection. In passato, ricercatori di SafeBreach avevano già dimostrato come un invito al calendario opportunamente modificato potesse permettere di dirottare Gemini e controllare dispositivi smart home.
Ciò che preoccupa maggiormente è dunque che questo nuovo metodo di attacco mostra ancora una volta come le capacità di ragionamento di Gemini possano essere manipolate per aggirare gli avvisi di sicurezza attivi, nonostante le modifiche implementate da Google dopo l’attacco precedente.