Onderzoekers omzeilden de verdediging van Google Gemini met behulp van instructies in natuurlijke taal, waardoor misleidende gebeurtenissen ontstonden en privé-agendagegevens lekten. Deze methode maakt exfiltratie van gevoelige gegevens naar een aanvaller mogelijk via een agenda-afspraakbeschrijving. Gemini, de LLM-assistent van Google, kan worden geïntegreerd in de webservices van Google en Workspace-apps zoals Gmail en Agenda. De op Gemini gebaseerde Agenda-uitnodigingsaanval begint met het verzenden van een doelwit naar een uitnodiging voor een evenement met daarin een prompt-injectie-payload in de beschrijving. Exfiltratie-activiteiten worden geactiveerd wanneer het slachtoffer Gemini vraagt naar hun planning. Dit zorgt ervoor dat de assistent alle relevante gebeurtenissen laadt en parseert, inclusief die met de payload van de aanvaller. Onderzoekers van Miggo Security, een Application Detection & Response (ADR)-platform, ontdekten dat ze Gemini konden misleiden om Agenda-gegevens te lekken door instructies in natuurlijke taal te geven. Deze omvatten: het samenvatten van alle vergaderingen op een specifieke dag, inclusief privévergaderingen; een nieuwe kalendergebeurtenis maken met die samenvatting; en reageren op de gebruiker met een onschuldig bericht. De onderzoekers leggen uit: “Omdat Gemini automatisch gebeurtenisgegevens opneemt en interpreteert om nuttig te zijn, kan een aanvaller die gebeurtenisvelden kan beïnvloeden, instructies in natuurlijke taal planten die het model later kan uitvoeren.” Ze ontdekten dat het beheren van het beschrijvingsveld van een gebeurtenis het mogelijk maakte een prompt in te sluiten die Google Gemini zou gehoorzamen, zelfs met een schadelijk resultaat. De lading van de kwaadaardige uitnodiging blijft sluimerend totdat het slachtoffer Gemini een routinevraag stelt over hun planning. Na uitvoering van de ingebedde instructies van de kwaadaardige Agenda-uitnodiging maakt Gemini een nieuwe afspraak. Het schrijft de samenvatting van de privévergadering in de beschrijving van dit nieuwe evenement. In veel bedrijfsomgevingen wordt de bijgewerkte beschrijving zichtbaar voor deelnemers aan de gebeurtenis, waardoor mogelijk gevoelige informatie naar de aanvaller lekt. Miggo merkte op dat Google een apart, geïsoleerd model gebruikt voor het detecteren van kwaadaardige aanwijzingen in de primaire Gemini-assistent. Hun aanval omzeilde deze failsafe echter omdat de instructies veilig leken. Snelle injectie-aanvallen via kwaadaardige titels van Agenda-evenementen zijn niet nieuw. In augustus 2025 demonstreerde SafeBreach dat een kwaadaardige Google Agenda-uitnodiging Gemini-agenten zou kunnen misbruiken om gevoelige gebruikersgegevens te lekken. Liad Eliyahu, hoofd onderzoek van Miggo, informeerde BleepingComputer dat de nieuwe aanval aantoont dat het redeneervermogen van Gemini kwetsbaar blijft voor manipulatie, ondanks dat Google aanvullende verdedigingsmaatregelen heeft geïmplementeerd na het SafeBreach-rapport. Miggo deelde zijn bevindingen met Google, dat sindsdien nieuwe oplossingen heeft toegevoegd. Het aanvalsconcept van Miggo benadrukt de complexiteit van het anticiperen op nieuwe exploitatiemodellen in AI-systemen die worden aangestuurd door natuurlijke taal met dubbelzinnige bedoelingen. De onderzoekers suggereren dat applicatiebeveiliging moet evolueren van syntactische detectie naar contextbewuste verdedigingen om deze kwetsbaarheden aan te pakken.
Source: Google repareert een kritieke Gemini-fout die uitnodigingen in aanvalsvectoren veranderde
