Die Forscher umgingen die Abwehrmechanismen von Google Gemini mithilfe von Anweisungen in natürlicher Sprache und erzeugten irreführende Ereignisse, um private Kalenderdaten preiszugeben. Diese Methode ermöglicht die Exfiltration sensibler Daten an einen Angreifer über eine Kalenderereignisbeschreibung. Gemini, der LLM-Assistent von Google, lässt sich in alle Google-Webdienste und Workspace-Apps wie Gmail und Kalender integrieren. Der Gemini-basierte Kalendereinladungsangriff beginnt mit dem Senden einer Ereigniseinladung an ein Ziel, die in ihrer Beschreibung eine Prompt-Injection-Nutzlast enthält. Exfiltrationsaktivitäten werden ausgelöst, wenn das Opfer Zwillinge nach ihrem Zeitplan befragt. Dadurch lädt und analysiert der Assistent alle relevanten Ereignisse, einschließlich des Ereignisses mit der Nutzlast des Angreifers. Forscher von Miggo Security, einer Application Detection & Response (ADR)-Plattform, fanden heraus, dass sie Gemini durch die Bereitstellung von Anweisungen in natürlicher Sprache dazu verleiten konnten, Kalenderdaten preiszugeben. Dazu gehörten: Zusammenfassung aller Besprechungen an einem bestimmten Tag, einschließlich privater Besprechungen; Erstellen eines neuen Kalenderereignisses mit dieser Zusammenfassung; und dem Benutzer mit einer harmlosen Nachricht antworten. Die Forscher erklärten: „Da Gemini Ereignisdaten automatisch aufnimmt und als hilfreich interpretiert, kann ein Angreifer, der Ereignisfelder beeinflussen kann, Anweisungen in natürlicher Sprache einschleusen, die das Modell später ausführen kann.“ Sie fanden heraus, dass die Steuerung des Beschreibungsfelds eines Ereignisses die Einbettung einer Aufforderung ermöglichte, der Google Gemini auch bei schädlichem Ausgang Folge leisten würde. Die Nutzlast der böswilligen Einladung bleibt inaktiv, bis das Opfer Gemini eine Routinefrage zu seinem Zeitplan stellt. Nach der Ausführung der eingebetteten Anweisungen der böswilligen Kalendereinladung erstellt Gemini ein neues Ereignis. Die Zusammenfassung des privaten Treffens wird in die Beschreibung dieses neuen Ereignisses geschrieben. In vielen Unternehmensumgebungen wird die aktualisierte Beschreibung für Ereignisteilnehmer sichtbar, wodurch möglicherweise vertrauliche Informationen an den Angreifer weitergegeben werden. Miggo stellte fest, dass Google ein separates, isoliertes Modell zur Erkennung bösartiger Eingabeaufforderungen im primären Gemini-Assistenten verwendet. Ihr Angriff umging diese Ausfallsicherheit jedoch, da die Anweisungen sicher schienen. Prompt-Injection-Angriffe über bösartige Kalenderereignistitel sind nichts Neues. Im August 2025 demonstrierte SafeBreach, dass eine bösartige Google-Kalender-Einladung Gemini-Agenten ausnutzen konnte, um vertrauliche Benutzerdaten preiszugeben. Liad Eliyahu, Miggos Forschungsleiter, informierte BleepingComputer dass der neue Angriff zeigt, dass die Denkfähigkeit von Gemini weiterhin anfällig für Manipulationen ist, obwohl Google nach dem SafeBreach-Bericht zusätzliche Abwehrmaßnahmen implementiert hat. Miggo teilte seine Ergebnisse mit Google, das seitdem neue Abhilfemaßnahmen hinzugefügt hat. Das Angriffskonzept von Miggo verdeutlicht die Komplexität der Antizipation neuer Ausbeutungsmodelle in KI-Systemen, die auf natürlicher Sprache mit mehrdeutiger Absicht basieren. Die Forscher schlagen vor, dass sich die Anwendungssicherheit von der syntaktischen Erkennung zu kontextbewussten Abwehrmaßnahmen weiterentwickeln muss, um diese Schwachstellen zu beheben.
Source: Google behebt einen kritischen Gemini-Fehler, der Einladungen in Angriffsvektoren verwandelt hat
