سوءاستفاده از تقویم گوگل برای نشت اطلاعات کاربر

به گزارش کارگروه امنیت سایبربان؛ گوگل اشکالی را برطرف کرد که به دعوت‌نامه‌های مخرب تقویم گوگل اجازه می‌داد تا از راه دور عوامل جِمینی (Gemini) را که روی دستگاه هدف اجرا می‌شوند، در اختیار بگیرند و داده‌های حساس کاربر را نشت دهند.

این حمله بدون نیاز به هیچ گونه دخالت کاربر، فراتر از تعاملات معمول با دستیار رخ داد که روزانه برای کاربران جِمینی رخ می‌دهد.

جِمینی دستیار مدل زبانی بزرگ (LLM) گوگل است که در اندروید، سرویس‌های وب گوگل و برنامه‌های «Workspace» گوگل ادغام شده و به جی‌میل، تقویم (Calendar) و «Google Home» دسترسی دارد.

با ارسال یک دعوت‌نامه تقویم با تزریق اعلان جاسازی‌شده، که اغلب در عنوان رویداد پنهان است، مهاجمان می‌توانند به طور بالقوه محتوای ایمیل و اطلاعات تقویم را استخراج کنند، مکان قربانی را ردیابی، دستگاه‌های خانه هوشمند را از طریق Google Home کنترل، برنامه‌ها را در اندروید باز و تماس‌های ویدیویی زوم (Zoom) را فعال کنند.

این حمله در گزارشی توسط محققان «SafeBreach» نشان داده شده که خاطرنشان کردند که نیازی به دسترسی به مدل جعبه سفید ندارد و توسط فیلتر کردن اعلان یا سایر اقدامات حفاظتی در جِمینی مسدود نشده است.

این حمله با ارسال یک دعوت‌نامه رویداد تقویم گوگل به هدف آغاز شد که عنوان رویداد حاوی تزریق اعلان غیرمستقیم بود. به محض اینکه قربانی با جِمینی تعامل می‌کند، مثلاً می‌پرسد «رویدادهای تقویم من امروز چیست؟»، جِمینی فهرست رویدادها را از تقویم، از جمله عنوان رویداد مخربی که مهاجم جاسازی کرده است، بیرون می‌کشد.

این بخشی از پنجره زمینه جِمینی می‌شود و دستیار آن را به عنوان بخشی از مکالمه در نظر می‌گیرد، بدون اینکه متوجه شود دستورالعمل برای کاربر تهاجمی است.

بسته به درخواستی که مهاجم استفاده می‌کند، ممکن است ابزارها یا عواملی را برای انجام پاک کردن یا ویرایش رویداد تقویم فعال کند، یک URL را برای بازیابی آدرس آی‌پی هدف باز کند، به یک تماس زوم بپیوندد، از گوگل هوم برای کنترل دستگاه‌های فیزیکی استفاده کند یا به ایمیل‌ها دسترسی پیدا کند و داده‌های حساس کاربر را استخراج کند.

این یک نکته منفی در مورد مجوزهای گسترده جِمینی برای انجام اقدامات در بین ابزارها است، زیرا دقیقاً از همین جاست که مفید بودن آن مشخص می‌شود.

نکته قابل توجه این است که مهاجم ممکن است برای اینکه حمله کار کند، نیاز به ارسال شش دعوتنامه تقویم داشته باشد، در حالی که سطح خاصی از پنهان‌کاری را حفظ می‌کند، فقط شامل درخواست مخرب در آخرین مورد می‌شود.

این به این دلیل است که بخش رویدادهای تقویم فقط پنج رویداد اخیر را نمایش می‌دهد و بقیه در زیر دکمه «نمایش بیشتر» قرار دارند. با این حال، وقتی از شما خواسته شود، جِمینی همه آنها، از جمله اعلان مخرب را تجزیه و تحلیل می‌کند.

در عین حال، کاربر عنوان مخرب را نمی‌بیند یا متوجه نفوذ نمی‌شود، مگر اینکه به صورت دستی با کلیک بر روی نمایش بیشتر فهرست رویدادها را در تقویم گسترش دهد.

ماه گذشته، مارکو فیگوئروا (Marco Figueroa)، محقق امنیتی موزیلا، مورد دیگری از حمله تزریق اعلان را برجسته کرد که به راحتی قابل دستیابی بود و دوباره جِمینی را هدف قرار می‌داد و زمینه را برای حملات فیشینگ متقاعدکننده علیه هدف فراهم کرد.

گوگل در پاسخ به این گزارش اظهار داشت که آنها به طور مداوم در حال ارائه اقدامات حفاظتی جدید برای جِمینی برای دفاع در برابر طیف وسیعی از حملات خصمانه هستند و بسیاری از اقدامات کاهش خطر برای اجرای قریب‌الوقوع یا در حال حاضر در مرحله استقرار برنامه‌ریزی شده‌اند.

اندی وِن (Andy Wen)، مدیر ارشد مدیریت محصولات امنیتی Google Workspace، گفت:

«ما به لطف کار عالی و افشای مسئولانه بن ناسی و تیمش، این مشکل را قبل از اینکه مورد سوءاستفاده قرار گیرد، برطرف کردیم. تحقیقات آنها به ما کمک کرد تا مسیرهای حمله جدید را بهتر درک کنیم و کار ما را برای استقرار دفاع‌های جدید و پیشرفته که اکنون برای محافظت از کاربران در حال اجرا هستند، تسریع بخشید. این نمونه‌ای عالی از اهمیت همکاری بین صنایع مختلف و تشکیل تیم‌های قرمز است.»