Danny Weber
Odkryto poważną lukę w Google Gemini na Androidzie umożliwiającą atak typu prompt injection przez złośliwe powiadomienia. Konsekwencje: przejęcie kontroli nad urządzeniami. Google wdrożył poprawkę. Sprawdź szczegóły i jak się chronić.
Badacze z SafeBreach odkryli poważną lukę w Google Gemini na urządzeniach z Androidem, która umożliwiała przejęcie kontroli nad logiką asystenta poprzez złośliwe powiadomienia z aplikacji takich jak WhatsApp czy Slack. Problem wynikał z ataku typu prompt injection – sytuacji, w której AI interpretuje zewnętrzny tekst jako instrukcję, a nie dane. Google już wdrożyło poprawkę po stronie serwera.
Badacz Or Yair zademonstrował lukę. Odkrył, że funkcja Utilities w Gemini, która pomaga asystentowi czytać powiadomienia i wykonywać działania na Androidzie, mogła zostać oszukana przez specjalnie spreparowaną wiadomość. Do ataku nie była potrzebna instalacja złośliwej aplikacji – wystarczyło otrzymanie zainfekowanego powiadomienia, które Gemini przetwarzało jako część swojego kontekstu.
Aby obejść zabezpieczenia Google, SafeBreach zastosowało technikę o nazwie Fałszywe Dopasowanie Kontekstu. W jednym przypadku złośliwe powiadomienie nakłoniło Gemini do poproszenia o zgodę w języku, którego użytkownik prawdopodobnie nie rozumiał – na przykład po chińsku. Następnie asystent przełączył się na angielski i zadał niewinne pytanie w stylu „Czy to wszystko?”. Gdy użytkownik odpowiedział „tak”, system uznał to za zatwierdzenie ukrytego polecenia.
W innej wersji ataku instrukcja została ukryta w wyciszonym hiperłączu. Gemini nie odczytało jej na głos, ale na ekranie pojawiło się żądanie uprawnień. Użytkownik usłyszał coś o drobnym błędzie i głosowo odpowiedział „tak”, myśląc, że potwierdza okno dialogowe, podczas gdy system mógł jednocześnie zatwierdzić wszystko, co wyświetlało się na ekranie.
Po ominięciu tego zabezpieczenia potencjalne konsekwencje były poważne. Podczas testów badaczom udało się przejąć kontrolę nad urządzeniami inteligentnego domu, zmusić telefon do dołączenia do rozmowy Zoom bez wyraźnego potwierdzenia, zaplanować regularne odczytywanie prywatnych wiadomości, a nawet uszkodzić pamięć Gemini. Ten ostatni efekt jest szczególnie niepokojący: asystent mógł przechowywać fałszywy fakt na poziomie konta, a to zniekształcenie rozprzestrzeniało się na inne urządzenia użytkownika.
SafeBreach zgłosiło problem Google’owi w ramach programu bug bounty w sierpniu ubiegłego roku. Google potraktowało go jako priorytet i wdrożyło poprawkę po stronie serwera dla systemów klasyfikacji treści. Użytkownicy nie muszą instalować osobnej aktualizacji aplikacji, ale incydent pokazuje, jak skomplikowane staje się bezpieczeństwo asystentów AI, gdy mają one dostęp do powiadomień, aplikacji i kontekstu osobistego.
© RusPhotoBank