Un semplice invito a un evento su Google Calendar può nascondere istruzioni maligne che Gemini interpreta come comandi legittimi, esfiltrando dati sensibili dal calendario della vittima senza che quest’ultima se ne accorga. Ricercatori di Miggo Security hanno dimostrato come questa vulnerabilità, ora patchata da Google, sfrutti l’integrazione profonda tra l’AI e l’app Calendar su Android. L’attacco, basato su prompt injection indiretta, evidenzia i rischi delle AI contestuali in ecosistemi come Google Workspace.
Meccanismo dell’exploit
L’aggressore crea un invito Calendar apparentemente innocuo, inserendo nella descrizione dell’evento un testo crafted come prompt naturale per Gemini, del tipo che ordina di riassumere riunioni private e creare un nuovo evento con quei dettagli. Questo payload dormiente non attiva nulla immediatamente, permettendo all’invito di depositarsi nel calendario senza destare sospetti. Quando la vittima, magari dal Pixel phone o dall’app Gemini su Android, chiede innocuamente “Sono libero sabato?”, l’AI scansiona tutti gli eventi, inclusi quelli privati, e processa il prompt nascosto: riassume le riunioni sensibili, genera un nuovo evento intitolato ad esempio “slot libero” con il riassunto nel campo descrizione, e risponde alla vittima con un messaggio banale come “Hai tempo libero”.
In configurazioni enterprise tipiche, questo nuovo evento diventa visibile all’attaccante grazie alle policy di condivisione Calendar, esfiltrando dati come orari di meeting confidenziali senza malware, link sospetti o interazioni dirette. Il trucco sfrutta il fatto che Gemini tratta il testo descrittivo come linguaggio naturale, eludendo filtri tradizionali basati su pattern, poiché le istruzioni mimano comandi utente legittimi. Su Android, dove Gemini è nativo su Pixel e integrato in app come Calendar, il rischio è amplificato per utenti mobili che usano query vocali o testuali casuali.
Contesto e precedenti
Google aveva da poco esteso Gemini a calendari multipli, permettendo query cross-calendario in linguaggio naturale, proprio quando Miggo ha scoperto questa falla. Non è la prima: a metà 2025, SafeBreach dimise un attacco simile dove un invito avvelenato hijackava Gemini per controllare smart home, accendendo luci o aprendo finestre via comandi come “grazie”. Miggo ha divulgato responsible a Google, che ha deployato protezioni aggiuntive, come validazione prompt migliorata, bloccando l’esecuzione di tali chain.
Queste vulnerabilità semantiche, dove l’AI interpreta contesto esteso inclusi eventi esterni, espongono Workspace a rischi di privilege escalation, con potenziali estensioni a email o docs. Per utenti Android, disabilitare integrazioni AI o limitare accessi Calendar a Gemini riduce esposizione, ma patch come questa sottolineano la necessità di monitoraggio runtime per LLM. La notizia, fresca di ore, circola su BleepingComputer e HackerNews, confermando l’impatto su community tech.
Questa discussione è aperta anche su Feddit in @Androidiani
Vuoi discutere di questa funzione o condividere altre anticipazioni? Unisciti alla conversazione nella nostra community. La discussione sul forum è in categoria: @le-applicazioni-per-android.
