Google Calendar Bug از دوقلوها برای به دست گرفتن دستگاه های خانه هوشمند و سرقت داده های کاربر استفاده می کند
محققان نقصی را پیدا کردند که به یک تقویم مخرب Google اجازه می داد تا جمینی را به دست آورد تا به دستگاه یک هدف آسیب برساند.
همانطور که توسط Blewing Computer گزارش شده است ، یک دعوت مخرب در تقویم Google می تواند نمایندگان دوقلوها را از راه دور و بدون مشارکت کاربر فراتر از تعامل روزانه معمولی با دستیار به دست آورد.
محققان امنیتی در SaftBreach ، که این حمله را در یک گزارش نشان دادند ، توانستند با دعوت تقویم پنهان در عنوان فعالیت ، دعوت تقویم را ارسال کنند و به آنها امکان می دهند داده های مختلف کاربر مانند E -Mail و اطلاعات تقویم را پخش کنند. آنها همچنین توانستند از موقعیت قربانی پیروی کنند و باعث ایجاد برنامه های باز و زوم (با استفاده از Google Home) در Android شوند.
محققان خاطرنشان كردند كه این حمله نیازی به دسترسی به مدل جعبه سفید ندارد و جمینی با اقدامات حفاظت یا فیلتر سریع مسدود نشده است. در عوض ، این حمله با دعوت به یک رویداد مخرب Google Google که به یک قربانی حاوی عنوان رویداد حاوی تزریق درخواست غیرمستقیم ارسال شده است ، آغاز می شود. قربانی باید فقط با دوقلوها همانطور که انجام می دهد تعامل داشته باشد ، به عنوان مثال ، “فعالیت های تقویم من امروز چیست؟” AI Chatbot عنوان فعالیت مخرب را که توسط مهاجم دفن شده است ، شامل می شود تا لیستی از وقایع از تقویم ایجاد کند.
این امر بخشی از پنجره محتوای Gemini خواهد بود و دستیار آن را به عنوان بخشی از گفتار بحث خواهد کرد ، زیرا او نمی داند که این دستورالعمل مخرب است. بسته به نوع دستورالعمل ، ممکن است باعث شود تعدادی از درخواست های مختلف اجرا شود ، که ممکن است باعث شود حوادث در تقویم Google به طور کامل ویرایش یا حذف شود ، URL ها را باز می کند تا آدرس IP قربانی را بدست آورید ، با استفاده از Google Home برای ترکیب یک تماس زوم ، کنترل دستگاه ها یا نشت داده های کاربر.
با این حال ، ممکن است شش دعوت تقویم برای کار با یک درخواست مخرب برای حضور در آخرین دعوت دریافت کند. دلیل این امر این است که بخش وقایع تقویم فقط پنج رویداد آخر را نشان می دهد. دکمه “نمایش بیشتر” باقی مانده در زیر دکمه قرار می گیرد. دوقلوها همه آنها را از جمله مخرب جدا می کنند. علاوه بر این ، قربانی عنوان رویداد مخرب را نمی بیند ، یا او متوجه نخواهد شد که سازش وجود دارد مگر اینکه با کلیک روی “نمایش بیشتر” لیست وقایع را گسترش دهد.
Google’s LLM (مدل زبان عالی) دستیار Gemini ، Android ، Google Web Services و برنامه های کار Google در Gmail ، Calendar و Google Home ادغام شده اند. این حملات یک ضرر دسترسی و دسترسی گسترده گوگل است و سودمندی از توانایی آنها برای دستیابی به ابزارها ناشی می شود که ثابت می کند که این حمله هنگام ورود به طبیعت آسیب است. گوگل قبلاً تصحیح کرده است و به تیم محقق و تلاش ها اعتماد کرده است.
دنبال کردن راهنمای تام در Google News در انتشارات خود برای به دست آوردن اخبار روزانه ما ، چگونه TOS و بررسی ها. حتماً روی دکمه ردیابی کلیک کنید.