Een nieuwe kwetsbaarheid in Google Gemini voor werkruimte maakt phishing -aanvallen mogelijk door e -mailsamenvattingen te manipuleren zonder bijlagen of directe links. Bekendgemaakt door onderzoeker Marco Figueroa via Mozilla’s 0din Bug Bounty Program, de methode maakt gebruik van indirecte snelle injecties verborgen in e -mails.
Aanvallers sluiten kwaadaardige instructies in e -maillichaamstekst in met HTML en CSS om ze onzichtbaar te maken. Wanneer een ontvanger Gemini vraagt om de e -mail samen te vatten, parseert de AI de verborgen richtlijn. Een voorbeeld toonde Gemini die een nep -beveiligingswaarschuwing genereerde over een gecompromitteerd Gmail -wachtwoord, inclusief een ondersteuningstelefoonnummer, dat zich voordeed als een legitieme waarschuwing.
Hoewel Google verklaarde dat ze de verdediging verharden en mitigaties implementeren, hebben ze geen bewijs van deze aanval in het wild gezien. Figueroa stelt voor dat beveiligingsteams verborgen inhoud verwijderen of neutraliseren en postverwerkingsfilters op Gemini-uitvoer implementeren. Gebruikers wordt geadviseerd om geen Gemini -samenvattingen te overwegen die gezaghebbend zijn voor beveiligingswaarschuwingen.
Source: Hoe hackers de samenvatting van Gemini kunnen bewapenen
