Вразливість Gemini дозволяє використовувати короткий зміст листів у Gmail для фішингу

У поштовій функції Gemini, інтегрованій у Gmail, виявлено критичну вразливість, яка дозволяє хакерам реалізовувати фішингові атаки через штучно згенеровані резюме листів. Про це пише портал BleepiingComputer з посиланням на 0DIN.

Вразливість виявив Марко Фігероа — менеджер програми GenAI Bug Bounty в Mozilla. Як зазначає Фігероа, зловмисники можуть приховувати інструкції в тілі електронного листа, форматуючи їх білим кольором і зменшуючи шрифт до нуля, що робить текст невидимим для людини, але доступним для аналізу Gemini. Внаслідок цього ШІ може автоматично додавати до резюме неправдиві попередження, наприклад, про злам пароля, разом із фейковим номером підтримки.

Хоча деякі користувачі не реагують на такі повідомлення, інші можуть потрапити у пастку через емоційний вплив подібного контенту. Фігероа наголошує, що команди безпеки можуть розробляти методи виявлення прихованої інформації, а також аналізувати підсумки, які генерує ШІ, на наявність URL-адрес, номерів телефонів чи термінових повідомлень.

BleepingComputer звернувся до Google щодо цієї вразливості в Gemini. Представник компанії відповів, що поки не бачив жодних доказів зловживань, але додав, що Google вже працює над захистом і незабаром запровадить додаткові заходи безпеки.