Kutatók kártékony WhatsApp üzenetekkel vették át az irányítást a Google Gemini felett

A SafeBreach Labs kutatói egy rendkívül aggasztó biztonsági rést tártak fel a Google Gemini mesterséges intelligencia rendszerében, amely lehetővé teszi a támadók számára, hogy egy egyszerű üzenet segítségével átvegyék az irányítást az asszisztens felett. A módszer alapja egy úgynevezett indirekt prompt injection technika, amely a kontextus manipulálásával kerüli meg az AI biztonsági korlátait. A felfedezés lényege, hogy a támadóknak nincs szükségük arra, hogy a felhasználó bármilyen gyanús linkre kattintson, vagy saját maga gépeljen be utasításokat a chatbotnak. Elegendő egy speciálisan összeállított üzenetet küldeni egy olyan alkalmazáson keresztül, amelyet a Gemini figyel, és az AI a háttérben, a felhasználó tudta nélkül hajtja végre a kártékony parancsokat, legyen szó adatlopásról vagy jogosulatlan műveletekről.

A támadás lelke az úgynevezett Fake Context Alignment módszer, amely a kutatók szerint képessé teszi a támadókat arra, hogy az utasításaikat legitim beszélgetésnek álcázzák. Mivel a Gemini folyamatosan figyeli az értesítési felületet, hogy naprakész válaszokat adjon, a beérkező kártékony üzenetet kontextusként értelmezi, és automatikusan követni kezdi a benne rejtett direktívákat. A vizsgálatok kimutatták, hogy ez a sérülékenység nem korlátozódik csupán egyetlen platformra: a technika sikeresen alkalmazható WhatsApp, Slack, Signal, SMS, Instagram és Messenger üzenetek esetében is. Ez azt jelenti, hogy szinte bármelyik népszerű kommunikációs csatorna, amelyhez a Gemini hozzáfér, potenciális belépési pontot jelenthet a hackerek számára, megkerülve a Google által korábban bevezetett többrétegű védelmi stratégiákat is.

A kutatók a demonstráció során öt különböző veszélyforrást különítettek el, amelyek súlyos kockázatot jelentenek a felhasználókra. Ezek közé tartozik a bizalmas adatok szisztematikus ellopása, a felhasználó nevében végrehajtott jogosulatlan műveletek, a kifinomult adathalászat (phishing), a teljes fiókátvétel előkészítése, valamint a csendes megfigyelés, ahol az AI kémprogramként funkcionálva továbbítja a privát információkat. Különösen veszélyes elem, hogy a technika lehetővé teszi az AI számára hamis rendszerüzenetek generálását is. Ezzel a támadó elhitetheti a felhasználóval, hogy a Google hivatalos értesítését látja, miközben valójában a manipulált Gemini próbálja kicsalni a belépési kódokat vagy egyéb érzékeny adatokat, akár külső eszközökhöz való közvetlen hozzáférés nélkül is.

A biztonsági incidens hátterében az AI-asszisztensek egyik alapvető tervezési dilemmája áll: a kényelem és a funkcionalitás gyakran a biztonság rovására megy. Ahhoz, hogy egy LLM alapú asszisztens valóban hasznos legyen, értenie kell a felhasználó környezetét, ehhez pedig be kell olvasnia az alkalmazások értesítéseit. Ez a funkció azonban egy hatalmas támadási felületet hoz létre, hiszen bármilyen külső forrásból származó adat, amely bekerül a Gemini látóterébe, potenciálisan kártékony parancsként értelmezhető. A SafeBreach Labs elemzése rámutat, hogy amíg az AI rendszerek nem tudnak éles különbséget tenni a megbízható rendszerutasítások és a külső forrásból származó bemeneti adatok között, addig minden olyan alkalmazás, amelyet a Gemini olvasni tud, kaput nyit a digitális támadások előtt. Ez a felfedezés komoly kihívás elé állítja a fejlesztőket, hiszen az LLM modellek architektúráját alapjaiban kellene újragondolni a hasonló visszaélések megelőzése érdekében.