Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Google corrige un error crítico en Gemini que permite el seguimiento de los usuarios

Redazione RHC : 15 agosto 2025 13:41

Los desarrolladores de Google han corregido un error que permitía que invitaciones maliciosas de Google Calendar tomaran el control remoto de los agentes de Gemini que se ejecutaban en el dispositivo de la víctima y robaran datos del usuario. Gemini es el Modelo de Lenguaje Grande (LLM) de Google integrado en las apps de Android.

Investigadores de SafeBreach descubrieron que, al enviar a la víctima una invitación con un mensaje de Google Calendar integrado (que podía estar oculto, por ejemplo, en el título del evento), los atacantes podían extraer contenido del correo electrónico e información del calendario, rastrear la ubicación del usuario, controlar dispositivos domésticos inteligentes a través de Google Home, abrir apps de Android e iniciar videollamadas de Zoom.

En su informe, los expertos enfatizan que tal ataque no requirió acceso a un modelo de caja blanca ni fue bloqueado por filtros rápidos ni otros mecanismos de defensa de Gemini.

El ataque comienza enviando a la víctima una invitación a un evento a través de Google Calendar, cuyo título contiene un mensaje malicioso. Una vez que la víctima interactuaba con Gemini, por ejemplo, preguntando «¿Qué eventos tengo programados hoy en mi calendario?», la IA descargaba una lista de eventos de Calendario, incluido el malicioso.

Como resultado, el mensaje malicioso se convertía en parte de la ventana de contexto de Gemini y el asistente lo percibía como parte de la conversación, sin saber que la instrucción era hostil para el usuario.

Según el mensaje utilizado, los atacantes podían ejecutar diversas herramientas o agentes para eliminar o modificar eventos de Calendario, abrir URL para determinar la dirección IP de la víctima, unirse a llamadas de Zoom, usar Google Home para controlar dispositivos y acceder a correos electrónicos, y exfiltrar datos.

Los investigadores observaron que un atacante podía enviar seis invitaciones, incluyendo el mensaje malicioso solo en la última, para garantizar que el ataque funcionara manteniendo cierto nivel de sigilo.

El problema es que Eventos del Calendario solo muestra los últimos cinco eventos, mientras que los demás se ocultan bajo el botón «Mostrar Más». Sin embargo, cuando se solicita, Gemini los analiza todos, incluido el malicioso. Al mismo tiempo, el usuario no verá el nombre malicioso a menos que expanda manualmente la lista de eventos.

Google respondió al informe de SafeBreach afirmando que la compañía está implementando continuamente nuevas defensas para Gemini para contrarrestar una amplia gama de ataques, y que muchas de las medidas están planeadas para su implementación inminente o ya están en proceso de implementación.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Criptomonedas, ransomware y hamburguesas: la combinación fatal para Scattered Spider
Di Redazione RHC - 25/09/2025

El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...

¡Se acabó la fiesta de los regalos! La infraestructura de código abierto está en riesgo y necesita financiación.
Di Redazione RHC - 25/09/2025

Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...

Vulnerabilidades de día cero detectadas en Cisco IOS e IOS XE: actualizaciones urgentes
Di Redazione RHC - 25/09/2025

Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...

Cadena de suministro: El bloqueo de los aeropuertos europeos plantea inquietud sobre un problema cada vez más crítico.
Di Paolo Galdieri - 24/09/2025

El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...

¿Cómo deshabilitar un EDR mediante el registro? Con DedicatedDumpFile
Di Alex Necula - 24/09/2025

Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...