{"id":14599,"date":"2025-08-11T14:41:25","date_gmt":"2025-08-11T14:41:25","guid":{"rendered":"https:\/\/newestek.com\/?p=14599"},"modified":"2025-08-11T14:41:25","modified_gmt":"2025-08-11T14:41:25","slug":"gemini-per-kalendereinladung-gehackt","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14599","title":{"rendered":"Gemini per Kalendereinladung gehackt"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p>Kriminelle greifen Gemini mit Prompt-Injection in Kalendereinladungen an.<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\">gguy \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Google hat den KI-gest\u00fctzten Assistenten Gemini in Android, Google-Webdienste und Googles Workspace-Apps integriert. Neben seiner Funktion als Chatbot hat die K\u00fcnstliche Intelligenz (KI) damit auch Zugriff auf Gmail, Kalender und Google Home.<\/p>\n<p>Diese weite Verzweigung k\u00f6nnen sich Kriminelle zu Nutze machen, wie Forscher von <a href=\"https:\/\/www.safebreach.com\/blog\/invitation-is-all-you-need-hacking-gemini\/\" target=\"_blank\" rel=\"noreferrer noopener\">SafeBreach<\/a> im Rahmen von Experimenten nun herausfanden: Indem sie eine Kalendereinladung mit einer eingebetteten Prompt Injection versehen, sind Hacker in der Lage, auf wichtige sowie sensible Informationen zugreifen. Aktiv ausgenutzt scheint die L\u00fccke noch nicht worden zu sein.<\/p>\n<p>Dennoch k\u00f6nnten Kriminelle<\/p>\n<ul class=\"wp-block-list\">\n<li>E-Mail-Inhalte und Kalenderinformationen exfiltrieren,<\/li>\n<li>den Standort des Opfers verfolgen,<\/li>\n<li>Smart-Home-Ger\u00e4te \u00fcber Google Home steuern,<\/li>\n<li>Apps auf Android-Ger\u00e4ten \u00f6ffnen und<\/li>\n<li>Zoom-Videoanrufe ausl\u00f6sen.<\/li>\n<\/ul>\n<p>Der entsprechende Prompt wurde dabei h\u00e4ufig im Titel der Veranstaltung versteckt. Dabei fanden die Experten heraus, dass solche Angriffe keine aufw\u00e4ndige Modellierung ben\u00f6tigen. Au\u00dferdem k\u00f6nnen Attacken dieser Art \u2013 zumindest zum aktuellen Stand nicht durch Prompt-Filterung oder andere Schutzma\u00dfnahmen in Gemini blockiert werden.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Die Injektion im \u00dcberblick<\/strong><\/h2>\n<p>Der genaue Ablauf erfolgt dabei exemplarisch so:<\/p>\n<p>Das Opfer erh\u00e4lt eine Google-Kalender-Ereigniseinladung, deren Titel bereits eine indirekte Prompt-Injektion enth\u00e4lt. Sobald das Opfer dann mit Gemini interagiert, beispielsweise, indem es fragt: \u201eWelche Termine habe ich heute?\u201c ruft Gemini die Liste der Ereignisse aus dem Kalender ab. Dabei sieht Gemini den b\u00f6sartigen Ereignistitel als Teil des Kontextfensters an und behandelt ihn als Teil der Unterhaltung.<\/p>\n<p>Je nach der vom Angreifer verwendeten Eingabeaufforderung kann dieser dann Tools oder Agenten aktivieren, um<\/p>\n<ul class=\"wp-block-list\">\n<li>Kalenderereignisse zu l\u00f6schen oder zu bearbeiten,<\/li>\n<li>eine URL zu \u00f6ffnen,<\/li>\n<li>die IP-Adresse des Ziels abzurufen,<\/li>\n<li>an einem Zoom-Anruf teilzunehmen,<\/li>\n<li>Google Home zur Steuerung physischer Ger\u00e4te verwenden, oder<\/li>\n<li>auf E-Mails zuzugreifen und sensible Nutzerdaten zu extrahieren.<\/li>\n<\/ul>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p>\u00dcber eine harmlose Kalendereinladung erh\u00e4lt der Hacker am Ende Zugriff auf wertvolle Daten.<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\">SafeBreach<\/p>\n<\/div>\n<h2 class=\"wp-block-heading\"><strong>Durchhalteverm\u00f6gen bei Angriffen gefragt<\/strong><\/h2>\n<p>Allerdings weisen die Forscher darauf hin, dass Angreifer m\u00f6glicherweise bis zu sechs Kalendereinladungen versenden m\u00fcssen, damit die Attacke funktioniert.<\/p>\n<p>Der Grund daf\u00fcr ist, dass im Abschnitt \u201eKalenderereignisse\u201d auf dem Smartphone nur die f\u00fcnf neuesten Ereignisse angezeigt werden, w\u00e4hrend die \u00fcbrigen unter der Schaltfl\u00e4che \u201eMehr anzeigen\u201d versteckt sind. Bei der Eingabeaufforderung analysiere Gemini jedoch alle Ereignisse, einschlie\u00dflich der b\u00f6sartigen.<\/p>\n<p>Das Opfer sieht den b\u00f6sartigen Titel jedoch so nicht und bemerkt erst, dass es kompromittiert ist, wenn es die Ereignisliste im Kalender manuell durch Klicken auf \u201eMehr anzeigen\u201d erweitert.<\/p>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-full\"><figcaption class=\"wp-element-caption\">\n<p>Wer seine Termine detailliert \u00fcberpr\u00fcft, entdeckt m\u00f6glicherweise Unerwartetes.<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\">SafeBreach<\/p>\n<\/div>\n<p>Google reagierte auf den Bericht von SafeBreach mit der Erkl\u00e4rung, dass das Unternehmen kontinuierlich neue Sicherheitsma\u00dfnahmen f\u00fcr Gemini einf\u00fchre. Viele Abhilfema\u00dfnahmen st\u00fcnden dabei kurz vor der Umsetzung oder bef\u00e4nden sich bereits in einer bestimmten Implementierungsphase, so der Tech-Riese.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Kriminelle greifen Gemini mit Prompt-Injection in Kalendereinladungen an. gguy \u2013 shutterstock.com Google hat den KI-gest\u00fctzten Assistenten Gemini in Android, Google-Webdienste und Googles Workspace-Apps integriert. Neben seiner Funktion als Chatbot hat die K\u00fcnstliche Intelligenz (KI) damit auch Zugriff auf Gmail, Kalender und Google Home. Diese weite Verzweigung k\u00f6nnen sich Kriminelle zu Nutze machen, wie Forscher von SafeBreach im Rahmen von Experimenten nun herausfanden: Indem sie eine&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14599\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14599","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14599"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14599\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}