Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati

Un'analisi delle vulnerabilità di sicurezza scoperte in Google Gemini, tra cui CVE-2026-0628, attacchi di ASCII smuggling e sfruttamento da parte di gruppi APT.

Contenuto

Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati

Scopri anche

Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati

Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati

In questo articolo:

L'integrazione dell'intelligenza artificiale nei prodotti Google ha introdotto nuove superfici di attacco che ricercatori di sicurezza e attori malevoli stanno esplorando con crescente intensità. Dalle vulnerabilità nel browser Chrome all'uso sistematico di Gemini da parte di gruppi sponsorizzati da stati nazionali, il panorama delle minacce legate all'AI si sta rivelando più complesso del previsto.

La vulnerabilità CVE-2026-0628 in Chrome e Gemini Live

⬆ Torna su

Palo Alto Networks ha scoperto una vulnerabilità nel browser Google Chrome che avrebbe potuto trasformare l'assistente AI integrato in uno strumento di sorveglianza e furto dati. Il problema, catalogato come CVE-2026-0628, è stato corretto a gennaio con il rilascio di Chrome 143.

La vulnerabilità riguardava Gemini Live, il pannello laterale AI di Chrome progettato per assistere l'utente nella navigazione tramite riassunti in tempo reale, esecuzione automatica di task e comprensione contestuale delle pagine web. Gemini Live è concepito per accedere al contenuto della pagina attiva, interpretarne il contesto e eseguire azioni complesse direttamente dall'interfaccia del browser.

Secondo l'analisi di Palo Alto Networks, l'AI non è una semplice estensione ma un componente nativo del browser con capacità avanzate, incluse interazioni con file locali, screenshot delle schede, accesso a microfono e videocamera. L'assistente dispone di permessi che vanno oltre quelli normalmente concessi a un'estensione tradizionale.

La CVE-2026-0628 avrebbe consentito a estensioni dannose di iniettare codice JavaScript all'interno del pannello Gemini Live sfruttando l'API declarativeNetRequests, che permette di intercettare e modificare richieste e risposte HTTPS. Questa API nasce con finalità legittime come il blocco di richieste intrusive, ma la possibilità di interagire con contenuti originati da Gemini la rendeva un potenziale vettore di compromissione.

Tra gli scenari ipotizzati dai ricercatori: attivazione silenziosa di microfono e videocamera, accesso ai file locali, cattura di screenshot delle schede aperte e orchestrazione di campagne phishing sfruttando l'interfaccia di Gemini. Palo Alto Networks ha segnalato la vulnerabilità a Google lo scorso ottobre e la correzione è stata distribuita con le versioni 143.0.7499.192 e 143.0.7499.193 per Windows e macOS, e con la 143.0.7499.192 per Linux.

L'ASCII smuggling e le vulnerabilità in Gemini

⬆ Torna su

Il ricercatore di FireTail Viktor Markopoulos ha identificato una vulnerabilità legata alla tecnica dell'ASCII smuggling, consistente nell'uso di caratteri ASCII invisibili per nascondere informazioni all'interno di un testo. Queste informazioni, nell'epoca dell'AI agentica, possono diventare prompt e comandi da far eseguire agli agenti AI all'insaputa dell'utente.

Markopoulos ha testato tecniche di ASCII smuggling contro sei AI: Claude, MS Copilot, ChatGPT, Grok, DeepSeek e Gemini. Claude, MS Copilot e ChatGPT riescono a identificare, filtrare e scartare i prompt nascosti prima di eseguirli. Grok, DeepSeek e Gemini, invece, non lo fanno.

Gemini risulta vulnerabile inserendo prompt nascosti nelle email e negli inviti di Calendar. Markopoulos ha dimostrato che è possibile nascondere istruzioni nel titolo di un invito Calendar, fare in modo che Gemini sovrascriva i dettagli dell'organizzatore dell'invito (identity spoofing) e nascondere descrizioni delle riunioni o link. In un altro esperimento è riuscito, tramite un'email, a far cercare a Gemini dati sensibili nella casella di posta e farsi mandare dettagli sui contatti della vittima.

Il ricercatore ha segnalato questi problemi tramite il bounty program di Google il 18 settembre, ma Google ha affermato che non si tratta di un problema di sicurezza bensì di ingegneria sociale. Al momento Google Gemini non agisce in autonomia, quindi affinché la vulnerabilità venga sfruttata è necessario che l'utente chieda a Gemini di fare qualcosa con l'email o l'invito Calendar infetto, ad esempio cliccando su "Riassumi questa email" o "Elenca le attività".

Attacchi di prompt injection via Google Calendar

⬆ Torna su

Secondo un report nel campo della sicurezza informatica condiviso da Wired, i ricercatori hanno sfruttato un attacco di prompt injection indiretto veicolandolo attraverso gli inviti di Google Calendar. Un utente riceve un invito malevolo che contiene al suo interno istruzioni nascoste per Gemini.

Quando l'utente chiede all'intelligenza artificiale un riassunto del suo calendario, l'assistente elabora le informazioni e, senza che nessuno se ne accorga, si imbatte nel comando malevolo attivandolo. La trappola scatta quando l'utente ringrazia Gemini per il riassunto: questo ringraziamento funge da "trigger" che attiva il comando nascosto e va a "infettare" Google Home, facendo compiere ai vari dispositivi connessi azioni indesiderate.

Andy Wen, direttore senior della sicurezza dei prodotti di Google Workspace, ha commentato che gli attacchi di prompt injection saranno una delle prossime sfide da affrontare per tutto il settore. Google ha iniziato ad analizzare i dati condivisi per accelerare lo sviluppo di strumenti più efficaci per bloccare questo tipo di minacce.

Il report GTIG: stati nazionali sfruttano Gemini

⬆ Torna su

Secondo un rapporto del Google Threat Intelligence Group (GTIG), gruppi APT provenienti da Cina, Iran, Corea del Nord e Russia stanno sfruttando sistematicamente il modello Gemini AI per potenziare ogni fase delle loro campagne: dalla ricognizione iniziale alla creazione di esche per phishing, dallo sviluppo di infrastrutture di comando e controllo fino all'esfiltrazione dei dati compromessi.

I ricercatori di Google hanno documentato casi particolarmente sofisticati da parte di attori cinesi, tra cui APT31 e Temp.HEX, che hanno utilizzato Gemini impersonando esperti di cybersecurity per automatizzare l'analisi delle vulnerabilità. Questi gruppi hanno indirizzato il modello a esaminare tecniche di Remote Code Execution (RCE), bypass dei Web Application Firewall e test di SQL injection contro obiettivi statunitensi specifici, creando scenari fittizi per aggirare i meccanismi di sicurezza dell'AI.

APT42, attore iraniano noto per campagne di social engineering, ha sfruttato il modello linguistico come piattaforma di sviluppo accelerato per strumenti personalizzati, dalla generazione automatica di codice alla ricerca di tecniche di exploitation, passando per il debugging di payload malevoli.

I malware HonestCue e CoinBait

⬆ Torna su

Il GTIG ha identificato due famiglie di malware che testimoniano l'integrazione AI-nativa: HonestCue e CoinBait. HonestCue, osservato alla fine del 2025, costituisce un framework di malware che sfrutta l'API di Gemini per generare codice C# per payload di secondo stadio, che vengono poi compilati ed eseguiti in memoria senza mai toccare il disco. Questa tecnica fileless rappresenta una sfida significativa per le soluzioni di sicurezza tradizionali basate su firme.

CoinBait si presenta come un kit di phishing sofisticato mascherato da exchange di criptovalute, costruito con React SPA e progettato per raccogliere credenziali. Gli artefatti nel codice sorgente suggeriscono l'uso di strumenti di generazione codice basati su AI, in particolare la piattaforma Lovable AI.

I ricercatori hanno inoltre documentato campagne ClickFix potenziate da AI generativa che distribuiscono l'infostealer AMOS su macOS. Gli utenti vengono ingannati attraverso annunci malevoli nei risultati di ricerca relativi a problemi tecnici comuni, spingendoli a eseguire comandi dannosi mascherati da soluzioni legittime.

Distillazione della conoscenza e furto di proprietà intellettuale

⬆ Torna su

Google ha rilevato tentativi sistematici di estrazione e distillazione del modello Gemini, una pratica che sfrutta l'accesso autorizzato alle API per interrogare metodamente il sistema e riprodurne i processi decisionali. In un attacco su larga scala documentato, Gemini è stato bombardato con oltre 100.000 prompt progettati per replicare il ragionamento del modello attraverso un ampio spettro di compiti in lingue diverse dall'inglese.

Questa tecnica di "distillazione della conoscenza" consente agli attaccanti di trasferire le capacità da un modello avanzato a uno nuovo, accelerando drasticamente lo sviluppo di AI competitive a costi significativamente inferiori. Sebbene non costituisca una minaccia diretta ai dati degli utenti, rappresenta un furto di proprietà intellettuale su scala industriale che mina il modello di business dell'AI-as-a-service.

Le tre vulnerabilità identificate da Tenable Research

⬆ Torna su

Tenable Research ha determinato tre vulnerabilità che hanno coinvolto il Search Personalization Model, il Gemini Cloud Assist e le problematiche relative ai dati salvati sulla posizione dell'utente tramite lo strumento di navigazione. Il Search Personalization Model potrebbe dare comandi dannosi relativi alla cronologia di navigazione di Chrome, spingendo l'utente a visitare un sito specifico.

La problematica di Gemini Cloud Assist riguarda la possibilità per utenti esterni malevoli di sfruttare la falla per introdurre istruzioni dannose nel sistema, prendendo il controllo da remoto. La questione relativa al Browsing tool concerne la possibilità di inviare informazioni dell'utente memorizzate, soprattutto relative alla posizione, a un server dannoso.

Google ha comunicato di aver già risolto questi problemi. Tuttavia, gli esperti di Malwarebytes hanno sottolineato che coloro che hanno già utilizzato i servizi di Google in precedenza potrebbero essere già stati vittime di tali problematiche, poiché la patch vale dal momento in cui è stata rilasciata e non ha potere sulle azioni pregresse.

La vulnerabilità storica di Chrome sulla cronologia di navigazione

⬆ Torna su

Google ha annunciato la scoperta e correzione di una vulnerabilità nel codice di Chrome che avrebbe esposto e tracciato involontariamente la cronologia di navigazione degli utenti. Il problema consisteva nel fatto che i link venivano visualizzati in viola se un utente aveva cliccato su di essi, indipendentemente da dove li avesse cliccati in precedenza.

Questo permetteva ad altri siti di eseguire script malevoli per controllare quali link fossero viola e ricostruire la cronologia di navigazione. La vulnerabilità sarebbe stata presente dal primo lancio di Chrome avvenuto nel settembre 2008.

Google ha implementato una correzione denominata "partizionamento a tripla chiave" a partire dalla versione 136 di Chrome. Verranno presi in considerazione tre fattori: l'URL del sito a cui rimanda il link, il dominio del sito stesso e l'origine del frame all'interno del quale è inserito quel link. Un link verrà contrassegnato come visitato solo se l'utente ha già cliccato su di esso in precedenza sullo stesso sito e nello stesso contesto.

Considerazioni sulla sicurezza dell'AI integrata

⬆ Torna su

L'episodio CVE-2026-0628 evidenzia un tema destinato a diventare centrale nel dibattito sulla sicurezza applicativa: l'integrazione nativa di modelli AI nei browser modifica radicalmente il perimetro di fiducia. Se l'assistente dispone di accesso privilegiato per eseguire operazioni legittime, qualsiasi vulnerabilità nel suo canale di comunicazione diventa un moltiplicatore di rischio.

Per i professionisti della sicurezza IT, il caso rappresenta un campanello d'allarme: l'evoluzione verso browser AI-native richiede una revisione delle strategie di hardening, monitoraggio delle estensioni e controllo dei permessi concessi. Non è più sufficiente valutare il rischio delle estensioni in modo isolato: occorre considerare anche l'interazione con componenti intelligenti ad alto privilegio.

Google ha disabilitato account e infrastrutture collegati agli abusi documentati, implementando difese mirate nei classificatori di Gemini per aumentare la difficoltà di sfruttamento. L'azienda ribadisce che progetta i propri sistemi AI con robuste misure di sicurezza e guardrail di protezione, sottoposti a test regolari. Tuttavia, il rapporto GTIG evidenzia una corsa agli armamenti in piena accelerazione, dove ogni innovazione nell'AI diventa immediatamente terreno di sfruttamento per attori malevoli.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

L'integrazione profonda di assistenti AI nei browser e nelle suite produttive amplia la superficie di attacco, con privilegi di accesso superiori a quelli delle estensioni tradizionali. La convergenza tra vulnerabilità software e tecniche di ingegneria sociale crea vettori di attacco difficili da mitigare completamente.

  • Scenario attenuato: Google implementa filtri efficaci contro l'ASCII smuggling in Gmail e Calendar, riducendo il rischio di sfruttamento tramite inviti malevoli.
  • Scenario intermedio: I gruppi APT continuano a sfruttare Gemini per automatizzare ricognizione e phishing, costringendo i vendor a irrigidire le policy di accesso.
  • Scenario peggiore: Malware fileless come HonestCue diventano prevalenti, generando payload dinamici via API e rendendo il rilevamento tradizionale inefficace.

Cosa monitorare

⬆ Torna su
  • L'evoluzione delle patch per CVE-2026-0628 e la possibile emersione di varianti simili.
  • Le contromisure contro gli attacchi indiretti tramite inviti Calendar e email.
  • L'evoluzione delle tecniche di distillazione della conoscenza e le risposte dei provider.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • vulnerabilita
  • gemini
  • cybersecurity
  • cve

Link utili

Apri l'articolo su DeafNews