(https://i.postimg.cc/yYtxKkBC/Gemini.png) (https://postimages.org/)
Tres fallas críticas en Gemini de Google podrían permitir a los atacantes inyectar avisos y robar datos de los usuarios.
Investigadores de ciberseguridad han descubierto tres vulnerabilidades de alto riesgo, conocidas como la Trifecta de Gemini, en la suite de IA Gemini de Google.
Investigadores de la firma de seguridad Tenable probaron la IA de Google con ataques de inyección de búsquedas, ataques de inyección de registros a avisos y exfiltración de la información guardada y los datos de ubicación del usuario.
Las vulnerabilidades encontradas expusieron a los usuarios a graves riesgos de privacidad. Permitieron a los atacantes secuestrar servicios en la nube, envenenar búsquedas personalizadas y obtener acceso secreto a datos confidenciales de los usuarios.
"Este es un punto ciego. Descubrimos que, si un atacante hubiera podido infiltrarse en un aviso, podría haber ordenado a Gemini que obtuviera una URL maliciosa, integrando datos del usuario en esa solicitud", escribieron los investigadores.
Tras la divulgación de los hallazgos, Google reaccionó rápidamente para corregir las vulnerabilidades. Cloud Assist de Gemini podría ser manipulado para ejecutar consultas no autorizadas.
La primera vulnerabilidad se encontró en Gemini Cloud Assist. Esta herramienta está diseñada para ayudar a los usuarios a comprender registros complejos en GCP mediante el resumen de entradas y la presentación de recomendaciones. "Al evaluar esta función, observamos algo que nos llamó la atención: Gemini no solo resumía metadatos, sino que extraía información directamente de los registros sin procesar", explicaron los investigadores.
Añadieron texto controlado por el atacante a los registros para manipular a Gemini y que ejecutara instrucciones ocultas en el contenido de los mismos.
(https://media.cybernews.com/2025/10/gemini-vulnerability.png)
Normalmente, los artefactos pasivos podrían convertirse en un vector de amenaza activo.
La vulnerabilidad podría activarse si una víctima pulsa el botón "Explicar esta entrada de registro" en el Explorador de Registros de GCP. La inyección de un mensaje oculto en un encabezado HTTP User-Agent podría haber engañado al sistema para que ejecutara consultas no autorizadas en la nube.
Los investigadores compartieron un escenario de ataque de alto impacto: inyectar un mensaje indicando a Gemini que consulte todos los recursos públicos o configuraciones incorrectas de IAM, y luego crear un hipervínculo con estos datos confidenciales.
"Los atacantes también podrían lanzar ataques 'spray' a todos los servicios públicos de GCP para maximizar el impacto en lugar de un ataque dirigido", explicaron los investigadores.
(https://media.cybernews.com/2025/10/gemini-vulnerability-2.png)
La búsqueda personalizada de Gemini podría ser explotada por atacantes.
La segunda falla se centró en el modelo de personalización de búsqueda de Gemini. Esta herramienta adapta las respuestas según el historial de navegación del usuario. Sin embargo, la vulnerabilidad descubierta demostró que la herramienta podría ser explotada por atacantes.
"Esta personalización es fundamental para el valor de Gemini, pero también significa que las consultas de búsqueda son, en realidad, datos que Gemini procesa. Esto nos llevó a una conclusión clave: el historial de búsqueda no es solo contexto pasivo, sino una entrada activa", señalaron los investigadores.
También descubrieron que un atacante podría introducir instrucciones que Gemini posteriormente trataría como consultas legítimas manipulando el historial de búsqueda de Chrome de la víctima con JavaScript malicioso.
"Nos preguntamos: si un atacante pudiera escribir en el historial de búsqueda del navegador de un usuario, ¿podría ese historial de búsqueda usarse para controlar el comportamiento de Gemini, afectando así al modelo de personalización de búsqueda de Gemini?".
Este exploit permitió a los investigadores extraer información guardada del usuario y datos de ubicación.
(https://media.cybernews.com/2025/10/gemini-vulnerability-3.png)
La herramienta de navegación de Gemini envió datos del usuario a un servidor malicioso.
El tercer problema afectó a la herramienta de navegación de Gemini. Esta herramienta permite al modelo acceder a contenido web en tiempo real y generar resúmenes basados en dicho contenido.
Los investigadores intentaron comprobar si podían indicarle a Gemini que enviara la información guardada del usuario a un servidor malicioso externo.
"Los sistemas de IA no solo filtran información a través de resultados obvios. También pueden hacerlo a través de la funcionalidad, especialmente a través de herramientas como la herramienta de navegación de Gemini, que permite obtener datos en tiempo real de URL externas", explicaron los investigadores.
(https://media.cybernews.com/2025/10/gemini-vulnerability4.png)
Tras un par de intentos, lograron explotar la herramienta.
"Logramos explotar la vulnerabilidad convenciendo a Gemini de usar la herramienta e integrar los datos privados del usuario en una solicitud a un servidor malicioso controlado por nosotros (el atacante)". "Posteriormente, pudimos extraer esos datos silenciosamente del servidor, sin necesidad de que Gemini mostrara nada sospechoso, como la representación de enlaces o imágenes".
Los atacantes podrían haber utilizado esta inyección indirecta de mensajes para obligar al sistema a integrar datos privados en las solicitudes salientes y transmitirlos a servidores controlados por ellos.
Fuente:
CyberNews
https://cybernews.com/ai-news/google-gemini-trifecta-security-flaws/