Pesquisadores descobriram uma vulnerabilidade no Google Calendar que permite a exploração do assistente de IA Gemini, levando ao vazamento de dados pessoais. Convites maliciosos podem induzir o Gem...
Pesquisadores descobriram uma vulnerabilidade no Google Calendar que permite a exploração do assistente de IA Gemini, levando ao vazamento de dados pessoais. Convites maliciosos podem induzir o Gemini a revelar informações privadas, sem que a vítima precise clicar em links suspeitos.
Pesquisadores de segurança descobriram uma vulnerabilidade curiosa envolvendo o Google Calendar e o Gemini, assistente de IA do Google. O problema ocorre quando convites maliciosos do calendário são usados para induzir o Gemini a revelar informações privadas do usuário ou de sua conta vinculada.
A falha explora a forma como o Gemini processa dados recebidos de eventos no Google Calendar. Ao inserir conteúdo manipulado em convites, atacantes conseguem induzir a IA a executar ações não autorizadas ou compartilhar dados que normalmente ficariam protegidos. Isso inclui informações pessoais, detalhes de agenda e até links internos restritos.
O ataque não exige que a vítima clique em links suspeitos, bastando aceitar (ou até receber automaticamente) o convite malicioso. Isso amplia o alcance da ameaça, pois o vetor de ataque se disfarça como um recurso legítimo de produtividade. Convites inesperados ou de fontes desconhecidas podem ser indícios de um ataque.
O Google reconheceu o problema e está trabalhando para corrigir a integração entre Calendar e Gemini, além de reforçar filtros para convites suspeitos. Enquanto isso, especialistas recomendam que usuários desativem a adição automática de eventos no Google Calendar e revisem cuidadosamente convites recebidos.
Dica de prevenção:
Mantenha a configuração do Google Calendar para que eventos só sejam adicionados com confirmação manual. Desconfie de convites inesperados e revise permissões concedidas a integrações com assistentes virtuais. Empresas devem realizar auditorias de segurança em fluxos de automação que envolvam IA.
A vulnerabilidade pode permitir o vazamento de informações pessoais, detalhes de agenda e links internos restritos.
Convites de fontes desconhecidas ou inesperados são sinais de que o convite pode ser malicioso.
Sim, o Google reconheceu o problema e está trabalhando em uma correção para a integração entre Calendar e Gemini.
Desativar adição autom��tica de eventos, revisar convites recebidos e realizar auditorias de segurança são algumas das melhores práticas recomendadas.
A LC SEC ajuda empresas a mapear riscos, implementar controles e proteger dados em ambientes que integram IA e nuvem. Saiba mais sobre como podemos ajudar.