Pesquisadores de segurança descobriram uma vulnerabilidade curiosa envolvendo o Google Calendar e o Gemini, assistente de IA do Google. O problema ocorre quando convites maliciosos do calendário são usados para induzir o Gemini a revelar informações privadas do usuário ou de sua conta vinculada.
A falha explora a forma como o Gemini processa dados recebidos de eventos no Google Calendar. Ao inserir conteúdo manipulado em convites, atacantes conseguem induzir a IA a executar ações não autorizadas ou compartilhar dados que normalmente ficariam protegidos. Isso inclui informações pessoais, detalhes de agenda e até links internos restritos.
O ataque nĂŁo exige que a vĂtima clique em links suspeitos, bastando aceitar (ou atĂ© receber automaticamente) o convite malicioso. Isso amplia o alcance da ameaça, pois o vetor de ataque se disfarça como um recurso legĂtimo de produtividade. Segundo os pesquisadores, a vulnerabilidade poderia ser explorada em campanhas de engenharia social ou para obtenção direcionada de informações.
O Google reconheceu o problema e está trabalhando para corrigir a integração entre Calendar e Gemini, além de reforçar filtros para convites suspeitos. Enquanto isso, especialistas recomendam que usuários desativem a adição automática de eventos no Google Calendar e revisem cuidadosamente convites recebidos.
Dica de prevenção:
Mantenha a configuração do Google Calendar para que eventos só sejam adicionados com confirmação manual. Desconfie de convites inesperados e revise permissões concedidas a integrações com assistentes virtuais. Empresas devem realizar auditorias de segurança em fluxos de automação que envolvam IA.
Essa falha evidencia como a interconexão entre serviços e assistentes inteligentes pode criar novos vetores de ataque. A LC SEC ajuda empresas a mapear riscos, implementar controles e proteger dados em ambientes que integram IA e nuvem. Saiba mais em lcsec.io
Compartilhe nas redes sociais:
