Исследователи Miggo взломали Google Calendar через приглашение на встречу
3 мин
81
Команда Miggo обнаружила уязвимость в экосистеме Google. Исследователи обошли защиту Google Calendar через обычное приглашение в календарь, в котором был спрятан вредоносный промпт. Эксплойт дал несанкционированный доступ к приватным данным встреч и позволил создавать фейковые события без участия пользователя.
Атака представляла собой непрямой prompt injection с критическим обходом авторизации. Специалисты Miggo сообщили о баге в Google, и компания пропатчила уязвимость.
По словам экспертов по кибербезу, уязвимость показала структурное ограничение ИИ-продуктов в определении намерений. В одном из прошлых материалов мы писали, что Google уже развернул отдельную языковую модель для детекта вредоносных промптов. Но путь эксплуатации новой уязвимости показал, что кибератаки возможны через естественный язык.
Нейросетевая модель Gemini работает как ассистент для Google Calendar. Она парсит полный контекст событий: заголовки, время, участников, описания. Механизм атаки эксплуатирует именно эту интеграцию.
Новая атака имела три фазы. Первая — закладка, когда атакующий создавал событие и отправлял приглашение целевому пользователю. В описание события хакер вписывал инструкцию для Gemini, по которой при любом вопросе о событиях модель должна была суммировать все встречи на определённое число, потом создать новое событие с заголовком free через Calendar.create, в описание записать саммари всех встреч и ответить пользователю, что есть свободный слот. Команд было три: суммировать все встречи пользователя, включая приватные, записать эти данные в описание нового события и замаскировать действие безобидным ответом.
Вторая фаза — активация. Вредоносный промпт остаётся неактивен до тех пор, пока пользователь не задаст обычный вопрос: «Я свободен в субботу?» Запрос заставлял Gemini загрузить все события календаря, включая вредоносное.
Третья фаза — утечка. Для пользователя Gemini вёл себя нормально и находил свободный слот, но параллельно создавал новое событие в календаре и записывал в его описание содержание всех приватных встреч. В корпоративных настройках календаря такие события часто видны другим пользователям, а значит, атакующий получал доступ к этому событию и мог увидеть скомпрометированные данные. Жертва при этом ничего не замечала.
