Un invito Google Calendar bastava per prendere il controllo di Gemini

Una vulnerabilità in Google Calendar consentiva a un attaccante di compromettere a distanza l’assistente Gemini — l’LLM di Google — sfruttando un semplice invito a un evento. La falla, individuata dai ricercatori di SafeBreach, permetteva di esfiltrare dati personali, controllare dispositivi smart home e persino avviare applicazioni sullo smartphone della vittima, il tutto senza che l’utente facesse nulla di anomalo.

L’attacco: prompt injection nascosto nel titolo di un evento

Il meccanismo sfruttava un prompt injection indiretto inserito nel titolo di un evento Google Calendar. Una volta che la vittima chiedeva a Gemini qualcosa di banale, come “Quali sono i miei eventi di oggi?”, l’assistente recuperava l’elenco dal calendario, includendo il titolo malevolo.

Il testo malevolo veniva così interpretato da Gemini come un’istruzione legittima, senza che il modello fosse in grado di distinguere tra contenuto innocuo e comando ostile. In questo modo, un cybercriminale poteva ordinare all’LLM di accedere alle email e estrarre informazioni sensibili; cancellare o modificare eventi sul calendario, aprire URL per ottenere l’indirizzo IP della vittima, avviare videochiamate su Zoom, controllare dispositivi domestici connessi tramite Google Home.

Nessuna interazione “sospetta” richiesta

Secondo i ricercatori, non era necessario alcun accesso privilegiato al modello e le protezioni integrate, come il filtro dei prompt, non impedivano l’attacco. L’unico requisito era che l’evento malevolo fosse incluso tra quelli letti da Gemini.

Per aumentare la furtività, l’attaccante poteva inviare sei inviti in sequenza, nascondendo quello malevolo tra i più vecchi: infatti, Google Calendar mostra solo i cinque eventi più recenti, mentre gli altri restano nascosti dietro al tasto “Mostra altro”. Gemini, tuttavia, li legge tutti quando interroga il calendario.

In pratica, la vittima non vedeva il titolo malevolo a meno che non espandesse manualmente la lista eventi.

Un problema ricorrente per Gemini

Non è la prima volta che l’assistente AI di Google è vulnerabile a questo tipo di attacco. Lo scorso mese, Marco Figueroa di Mozilla aveva segnalato un altro caso di prompt injection capace di preparare campagne di phishing mirato.

Questa nuova dimostrazione evidenzia il rischio intrinseco di dare a un LLM permessi estesi e capacità di azione trasversali su più servizi. È proprio questa integrazione profonda a renderlo utile — e al tempo stesso a esporlo ad abusi potenzialmente devastanti.

La risposta di Google

Google ha confermato di aver corretto la vulnerabilità prima che potesse essere sfruttata attivamente, ringraziando Ben Nassi e il team di SafeBreach per la responsible disclosure.

“La loro ricerca ci ha permesso di comprendere meglio nuovi vettori di attacco e accelerare il rilascio di difese all’avanguardia ora già operative per proteggere gli utenti”, ha dichiarato Andy Wen, senior director per la sicurezza di Google Workspace. “È un ottimo esempio dell’importanza del red-teaming e della collaborazione tra settori”.

Google ha inoltre ribadito di essere al lavoro su nuove misure di mitigazione per proteggere Gemini da attacchi avversariali sempre più sofisticati.