Cybersecurity-Forscher von SafeBreach haben eine kritische Schwachstelle in Googles KI-System Gemini aufgedeckt, die Angreifern ermöglichte, über manipulierte Kalender-Einladungen auf sensible Nutzerdaten zuzugreifen. Obwohl Google die Sicherheitslücke bereits geschlossen hat, verdeutlicht der Vorfall die wachsenden Bedrohungen für moderne KI-gestützte Systeme durch neuartige Angriffsvektoren.
Prompt Injection als Einfallstor für Cyberkriminelle
Die entdeckte Vulnerabilität basiert auf einer Prompt Injection Technik – einer Methode zur Manipulation von Sprachmodellen durch das Einschleusen schädlicher Anweisungen in Benutzeranfragen. Bei Google Gemini nutzten die Angreifer Calendar-Einladungen als Transportmittel für ihre bösartigen Payloads.
Der Angriffsmechanismus funktionierte folgendermaßen: Cyberkriminelle versendeten gezielt präparierte Google Calendar-Einladungen mit eingebetteten Prompt-Injections im Ereignistitel. Sobald Nutzer Gemini nach anstehenden Terminen fragten, lud der KI-Assistent die Kalenderinformationen inklusive der schädlichen Inhalte und interpretierte diese als legitimen Teil der Konversation.
Umfassende Kompromittierung durch KI-Manipulation
Die erfolgreiche Ausnutzung dieser Schwachstelle eröffnete Angreifern weitreichende Möglichkeiten zur Systemkompromittierung. Die SafeBreach-Forscher demonstrierten mehrere kritische Angriffsvektoren:
Datenextraktion aus Gmail und Calendar: Cyberkriminelle konnten vertrauliche E-Mail-Korrespondenz, Terminplanungen und andere persönliche Informationen abgreifen, wodurch umfassende Datenschutzverletzungen möglich wurden.
Geolocation-Tracking: Durch das automatisierte Öffnen speziell konstruierter URLs ließen sich IP-Adressen und Standortdaten der Opfer ermitteln, was schwerwiegende Datenschutzimplikationen hatte.
Smart Home Manipulation: Die Integration mit Google Home ermöglichte es Angreifern, Beleuchtung, Thermostate und Sicherheitssysteme fernzusteuern, was physische Sicherheitsrisiken zur Folge haben konnte.
Zusätzlich konnten unbemerkt Videoanrufe über Zoom initiiert und verschiedene Android-Anwendungen ohne Nutzerinteraktion gestartet werden.
Raffinierte Verschleierungstaktiken
Besonders beunruhigend war die Möglichkeit verdeckter Angriffe durch geschickte Ausnutzung der Calendar-Interface-Limitierungen. Angreifer konnten eine Serie von sechs Kalender-Einladungen versenden und den schädlichen Code ausschließlich in die letzte Einladung einbetten.
Da Google Calendar standardmäßig nur die fünf neuesten Ereignisse anzeigt und weitere hinter einem „Mehr anzeigen“-Button verbirgt, blieb der manipulierte Ereignistitel für Nutzer unsichtbar. Gemini analysierte jedoch sämtliche Kalenderereignisse, einschließlich der versteckten, wodurch die Attacke praktisch unentdeckbar wurde.
Wiederholte Sicherheitsprobleme bei Gemini
Diese Schwachstelle reiht sich in eine Serie von Sicherheitsvorfällen bei Google Gemini ein. Bereits im Vormonat demonstrierte der Sicherheitsforscher Marco Figueroa vom 0Din Bug Bounty Programm, wie Gemini für Workspace in Phishing-Kampagnen missbraucht werden kann.
Figueroas Forschung zeigte, dass Angreifer gefälschte E-Mail-Zusammenfassungen erstellen können, die authentisch wirken, aber bösartige Anweisungen und Links zu Phishing-Websites enthalten. Diese Häufung von Vorfällen deutet auf systematische Schwächen im Schutz von KI-Assistenten gegen Prompt-Injection-Angriffe hin.
Googles Reaktion und Schadensbegrenzung
Google reagierte umgehend auf die Sicherheitsmeldung. Andy Wen, Senior Director für Sicherheitsproduktmanagement bei Google Workspace, bestätigte, dass die Schwachstelle behoben wurde, bevor sie in realen Angriffen ausgenutzt werden konnte.
Das Unternehmen betonte die Bedeutung verantwortungsvoller Disclosure-Praktiken und die konstruktive Zusammenarbeit mit der Sicherheitsforschungsgemeinschaft. Die Erkenntnisse aus dieser Untersuchung helfen Google dabei, neue Angriffsvektoren besser zu verstehen und präventive Sicherheitsmaßnahmen zu implementieren.
Die aufgedeckte Gemini-Schwachstelle unterstreicht die zunehmende Komplexität der KI-Sicherheit in einer vernetzten digitalen Landschaft. Prompt Injection Attacken entwickeln sich zu einer ernsthaften Bedrohung für KI-Assistenten, die tief in alltägliche Arbeitsabläufe integriert sind. Nutzer sollten bei Kalender-Einladungen unbekannter Absender Vorsicht walten lassen und ihre Software regelmäßig aktualisieren, um von den neuesten Sicherheitspatches zu profitieren. Die kontinuierliche Weiterentwicklung von Abwehrmaßnahmen gegen KI-spezifische Angriffsvektoren wird entscheidend für den sicheren Einsatz künstlicher Intelligenz im Unternehmens- und Privatbereich sein.
