Les pirates pourraient exploiter cette faille dans les résumés de courrier Gemini pour des attaques par hameçonnage

Google a ajouté des résumés de courrier activés par Gemini dans Gmail vers la fin du mois de mai afin d'aider les utilisateurs à obtenir un résumé concis sans avoir à parcourir des paragraphes de texte. Cependant, une faille dans Gemini pourrait permettre à des pirates de lancer une attaque de phishing par injection d'invite sur un utilisateur, en particulier ceux qui sont devenus dépendants des résumés de l'IA pour leurs flux de travail de courrier électronique.

Identifiée par le chercheur Marco Figueroa, GenAI Bug Bounty Programs Chez Mozilla, l'e-mail problématique ressemble à n'importe quel autre e-mail aléatoire rempli de texte, mais il peut cacher une escroquerie par hameçonnage que Gemini ne parvient pas à identifier. Les instructions malveillantes peuvent être cachées dans le corps du texte ou juste après l'achat en les changeant en taille de police 0 et en couleur blanche, ce qui les rend invisibles. Cependant, Gemini analyserait toujours cette partie du courrier et suivrait les instructions qu'elle contient.

Par exemple, Figueroa a caché un message d'avertissement pour Gemini concernant la compromission du mot de passe Gmail de l'utilisateur, ainsi qu'un numéro de téléphone d'assistance. Après l'avoir résumé, l'IA a affiché l'avertissement à la fin et l'appel à l'action pour appeler immédiatement le numéro de téléphone de l'assistance. Même si tout le monde n'est pas dupe de ce message, certains pourraient le suivre de peur que leur compte ne soit compromis.