{"id":4328,"date":"2025-08-11T14:40:36","date_gmt":"2025-08-11T14:40:36","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4328"},"modified":"2025-08-11T14:40:36","modified_gmt":"2025-08-11T14:40:36","slug":"gemini-per-kalendereinladung-gehackt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4328","title":{"rendered":"Gemini per Kalendereinladung gehackt"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Kriminelle k\u00f6nnten Gemini mit Prompt-Injection in Kalendereinladungen angreifen.<\/p>\n<p class=\"imageCredit\">gguy \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Google hat den KI-gest\u00fctzten Assistenten Gemini in Android, Google-Webdienste und Googles Workspace-Apps integriert. Neben seiner Funktion als Chatbot hat die K\u00fcnstliche Intelligenz (KI) damit auch Zugriff auf Gmail, Kalender und Google Home.<\/p>\n<p>Diese weite Verzweigung k\u00f6nnten sich Kriminelle zu Nutze machen, wie Forscher von <a href=\"https:\/\/www.safebreach.com\/blog\/invitation-is-all-you-need-hacking-gemini\/\" target=\"_blank\" rel=\"noopener\">SafeBreach<\/a> im Rahmen von Experimenten nun herausfanden: Indem sie eine Kalendereinladung mit einer eingebetteten Prompt Injection versehen, w\u00e4ren Hacker in der Lage, auf wichtige sowie sensible Informationen zugreifen. Aktiv ausgenutzt wurde die L\u00fccke aber offenbar noch nicht.<\/p>\n<p>Dennoch k\u00f6nnten Kriminelle<\/p>\n<p>E-Mail-Inhalte und Kalenderinformationen exfiltrieren,<\/p>\n<p>den Standort des Opfers verfolgen,<\/p>\n<p>Smart-Home-Ger\u00e4te \u00fcber Google Home steuern,<\/p>\n<p>Apps auf Android-Ger\u00e4ten \u00f6ffnen und<\/p>\n<p>Zoom-Videoanrufe ausl\u00f6sen.<\/p>\n<p>Der entsprechende Prompt l\u00e4sst sich dabei laut SafeBreach einfach im Titel der Veranstaltung verstecken. Zudem fanden die Experten heraus, dass solche Angriffe \u2013 zumindest zum aktuellen Stand \u2013 nicht durch Prompt-Filterung oder andere Schutzma\u00dfnahmen in Gemini blockiert werden.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Die Injektion im \u00dcberblick<\/strong><\/h2>\n<p>Der genaue Ablauf beschreibt SafeBreach dabei exemplarisch folgenderma\u00dfen:<\/p>\n<p>Das Opfer erh\u00e4lt eine Google-Kalender-Ereigniseinladung, deren Titel bereits eine indirekte Prompt-Injektion enth\u00e4lt. Sobald das Opfer dann mit Gemini interagiert, beispielsweise, indem es fragt: \u201eWelche Termine habe ich heute?\u201c, ruft Gemini die Liste der Ereignisse aus dem Kalender ab. Dabei sieht Gemini den b\u00f6sartigen Ereignistitel als Teil des Kontextfensters an und behandelt ihn als Teil der Unterhaltung.<\/p>\n<p>Je nach der vom Angreifer verwendeten Eingabeaufforderung kann dieser dann Tools oder Agenten aktivieren, um<\/p>\n<p>Kalenderereignisse zu l\u00f6schen oder zu bearbeiten,<\/p>\n<p>eine URL zu \u00f6ffnen,<\/p>\n<p>die IP-Adresse des Ziels abzurufen,<\/p>\n<p>an einem Zoom-Anruf teilzunehmen,<\/p>\n<p>Google Home zur Steuerung physischer Ger\u00e4te verwenden, oder<\/p>\n<p>auf E-Mails zuzugreifen und sensible Nutzerdaten zu extrahieren.<\/p>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>\u00dcber eine harmlose Kalendereinladung erh\u00e4lt der Hacker am Ende Zugriff auf wertvolle Daten.<\/p>\n<p class=\"imageCredit\">SafeBreach<\/p>\n<\/div>\n<h2 class=\"wp-block-heading\"><strong>Durchhalteverm\u00f6gen bei Angriffen gefragt<\/strong><\/h2>\n<p>Allerdings weisen die Forscher darauf hin, dass Angreifer m\u00f6glicherweise bis zu sechs Kalendereinladungen versenden m\u00fcssen, damit die Attacke funktioniert. Der Grund daf\u00fcr ist, dass im Abschnitt \u201eKalenderereignisse\u201d auf dem Smartphone nur die f\u00fcnf neuesten Ereignisse angezeigt werden, w\u00e4hrend die \u00fcbrigen unter der Schaltfl\u00e4che \u201eMehr anzeigen\u201d versteckt sind. Bei der Eingabeaufforderung analysiere Gemini jedoch alle Ereignisse, einschlie\u00dflich der b\u00f6sartigen.<\/p>\n<p>Das Opfer sieht den b\u00f6sartigen Titel jedoch so nicht und bemerkt erst, dass es kompromittiert ist, wenn es die Ereignisliste im Kalender manuell durch Klicken auf \u201eMehr anzeigen\u201d erweitert.<\/p>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Wer seine Termine detailliert \u00fcberpr\u00fcft, entdeckt m\u00f6glicherweise Unerwartetes.<\/p>\n<p class=\"imageCredit\">SafeBreach<\/p>\n<\/div>\n<p>Google reagierte auf den Bericht von SafeBreach mit der Erkl\u00e4rung, dass das Unternehmen kontinuierlich neue Sicherheitsma\u00dfnahmen f\u00fcr Gemini einf\u00fchre. Viele Abhilfema\u00dfnahmen st\u00fcnden dabei kurz vor der Umsetzung oder bef\u00e4nden sich bereits in einer bestimmten Implementierungsphase, so der Tech-Riese.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Kriminelle k\u00f6nnten Gemini mit Prompt-Injection in Kalendereinladungen angreifen. gguy \u2013 shutterstock.com Google hat den KI-gest\u00fctzten Assistenten Gemini in Android, Google-Webdienste und Googles Workspace-Apps integriert. Neben seiner Funktion als Chatbot hat die K\u00fcnstliche Intelligenz (KI) damit auch Zugriff auf Gmail, Kalender und Google Home. Diese weite Verzweigung k\u00f6nnten sich Kriminelle zu Nutze machen, wie Forscher von [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":4329,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4328","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4328"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4328"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4328\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4329"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}