Trois vulnérabilités dans les outils Gemini AI de Google ont exposé les risques dans l’assistance, la recherche et la navigation en cloud – permettant une injection rapide, une manipulation de la logique et des fuites de données furtives avant d’être corrigés.
Les chercheurs en sécurité de Tenable ont révélé trois vulnérabilités distinctes dans l’assistance cloud, l’optimisation de la recherche et les composants de la recherche de Gemini.
S’ils sont exploités, ces défauts permettent aux attaquants d’injecter des invites, de détourner la logique AI et de siphonner les données utilisateur privés siphon, même en contournant de nombreuses garanties intégrées de Google. Ensemble, les défauts ont été surnommés «Gemini trifecta».
Itay Ravia, responsable des laboratoires AIM, la tenue de cybersécurité qui a d’abord documenté une attaque de clic zéro-clic similaire similaire, a déclaré: «Trifecta Gemini de Tenable renforce que les agents deviennent eux-mêmes le véhicule d’attaque une fois qu’ils ont accordé trop d’autonomie sans gardiens suffisants. Le motif est clair: les bûches, les histoires de recherche et les outils d’attaquant actifs sont clairs.
Google a depuis corrigé le problème, mais les chercheurs ont souligné que l’épisode est un réveil pour l’ère de l’IA.
Injection rapide dans l’assistance et la recherche sur les Gemini Cloud
Gemini Cloud Assist est une fonctionnalité qui aide les utilisateurs à résumer et à interpréter les journaux cloud (en particulier dans Google Cloud). Tenable a constaté que ce service pouvait être trompé par un attaquant pour intégrer du contenu spécialement formaté, comme via un en-tête User-Agent manipulé, dans un journal. Le contenu modifié s’écoule ensuite dans les journaux, que Gemini ingère et résume plus tard.
Dans une preuve de concept (POC) partagé dans un article de blog, les chercheurs ont envoyé des fragments invites malveillants via le champ d’agent utilisateur à un point de terminaison de la fonction cloud. Lorsque Gemini a ensuite «expliqué» l’entrée du journal, il comprenait un lien prêt pour le phish dérivé de l’entrée fabriquée – bien que l’invite complète ait été cachée derrière une section «Détails d’invite supplémentaire» effondrée.
Parce que les journaux sont omniprésents et sont souvent considérés comme des artefacts passifs, cela transforme efficacement presque tous les critères de terminaison des nuages orientés publics en une surface d’attaque, ont noté les chercheurs. Le billet de blog a en outre fait valoir que plusieurs autres services de Google Cloud, y compris les fonctions, l’exécution, le moteur d’application, l’équilibrage de charge, etc., pourraient être abusés de manière similaire si les journaux sont utilisés dans la résumé assisté par l’IA.
Le deuxième vecteur exploite la personnalisation de recherche de Gemini. Comme le module de recherche de Gemini utilise les requêtes passées d’un utilisateur comme contexte, un attaquant peut utiliser des astuces JavaScript pour insérer des «requêtes de recherche» malveillantes dans l’historique du navigateur d’un utilisateur. Lorsque Gemini lit cette histoire comme contexte, il traite ces invites injectées comme des entrées légitimes.
« Le problème sous-jacent était l’incapacité du modèle à se différencier entre les requêtes utilisateur légitimes et les invites injectées des sources externes », ont déclaré les chercheurs. « L’astuce JavaScript pour injecter l’historique de la recherche aux victimes comprenait l’arrêt d’une redirection vers l’API de recherche Google, mais en attendant assez longtemps pour permettre qu’il soit enregistré dans l’historique de recherche et ne pas réorienter la page. »
Exfiltration via l’outil de navigation
Même après une injection rapide, l’attaquant a besoin d’un moyen de retirer les données, et c’est ce que le troisième défaut affectant l’outil de navigation des Gémeaux a permis. Les chercheurs tenables ont fabriqué des invites pour tromper les Gémeaux pour récupérer le contenu Web externe à l’aide de l’outil de navigateur, intégrant les données utilisateur dans la chaîne de requête de cette demande. L’appel HTTP sortant a ainsi transporté les données sensibles de l’utilisateur à un serveur contrôlé par l’attaquant, sans s’appuyer sur des liens visiblement rendus ou des astuces de démarrage.
Cette constatation est notable car Google a déjà des atténuations comme la suppression du rendu de lien hypertexte ou du filtrage des marques d’image. L’attaque a contourné ces défenses de niveau UI en utilisant l’invocation de l’outil de navigation Google comme canal d’exfiltration.
