Danny Weber
A SafeBreach kutatói felfedezték a Google Gemini Android prompt injection hibáját, amely értesítésekkel támadható. A Google már javította.
A SafeBreach kutatói komoly biztonsági hibát találtak a Google Gemini Androidos verziójában. A probléma lényege, hogy a rosszindulatú értesítések – például WhatsAppból vagy Slackből – képesek voltak átvenni az asszisztens irányítását. A hibát prompt injectionnek nevezik, amikor a mesterséges intelligencia a külső szöveget nem adatként, hanem utasításként kezeli. A Google már szerveroldali javítást alkalmazott.
Or Yair kutató mutatta be a sebezhetőséget. Rájött, hogy a Gemini Utilities funkciója – amely lehetővé teszi az asszisztens számára, hogy értesítéseket olvasson és műveleteket hajtson végre Androidon – egy speciálisan megtervezett üzenettel becsapható. Nem kellett hozzá rosszindulatú alkalmazást telepíteni; elég volt egy fertőzött értesítést fogadni, amit a Gemini a kontextus részeként értelmezett.
A Google védelmének megkerülésére a SafeBreach a Fake Context Alignment nevű technikát alkalmazta. Az egyik esetben egy rosszindulatú értesítés hatására a Gemini egy olyan nyelven kért engedélyt, amit a felhasználó nagy valószínűséggel nem értett – például kínaiul. Ezt követően az asszisztens visszaváltott angolra, és feltett egy ártalmatlan kérdést, például hogy ennyi volt-e. Amikor a felhasználó igennel válaszolt, a rendszer ezt a rejtett parancs elfogadásaként értelmezte.
Egy másik esetben az utasítást egy lenémított hiperlinkbe csomagolták. A Gemini nem olvasta fel hangosan a szöveget, de egy engedélykérés megjelent a képernyőn. A felhasználó azt hallotta, hogy egy kisebb hiba történt, és hangosan igennel válaszolt, mivel azt hitte, hogy egy párbeszédablakot erősít meg. Valójában a rendszer ezzel egy időben jóváhagyhatta a képernyőn megjelenő tartalmat.
Amint az ellenőrzést sikerült kijátszani, a lehetséges következmények komolyak voltak. A tesztek során a kutatók képesek voltak okosotthoni eszközöket irányítani, a telefont egy Zoom-hívásba kényszeríteni anélkül, hogy a felhasználó egyértelműen megerősítette volna, ütemezett feladatokat létrehozni a privát üzenetek rendszeres olvasására, és akár a Gemini memóriáját is meghamisítani. Ez utóbbi különösen veszélyes: az asszisztens egy hamis információt tárolhat a fiók szintjén, és ez a sérülés a felhasználó összes többi eszközére is átterjedhet.
A SafeBreach augusztusban jelentette a hibát a Google-nak a hibavadász programon keresztül. A Google magas prioritású problémaként kezelte, és már ki is adott egy szerveroldali javítást a tartalomosztályozó rendszerekhez. A felhasználóknak nem kell külön alkalmazásfrissítést telepíteniük, de az incidens rávilágít arra, mennyire bonyolulttá válik a mesterséges intelligencia asszisztensek biztonsága, amikor ezek az asszisztensek hozzáférnek az értesítésekhez, alkalmazásokhoz és a személyes kontextushoz.
© RusPhotoBank