07 ago Hackers podem controlar sua casa inteligente abusando de brechas no Gemini, aponta pesquisa
Basta um convite para um evento no Gmail para comprometer uma casa inteligente gerenciada pelo Google Gemini. Pesquisadores da Universidade de Tel-Aviv descobriram um método de prompt injection que explora fragilidades no ecossistema do Google para assumir o controle de dispositivos interconectados da residência, do assistente virtual Gemini e até do celular da vítima.
Ter dispositivos inteligentes em casa oferece praticidade ao dia a dia. Luzes, cortinas, tomadas, interruptores e eletrodomésticos modernos podem ser gerenciados por hubs como o Google Home. Contudo, ao estender esse controle para o ambiente digital, amplia-se também a superfície vulnerável a ataques cibernéticos — e foi isso que os pesquisadores Ben Nassi, Stav Cohen e Or Yair mostraram no estudo “Invitation Is All You Need! Tara for Targeted Promptware Attack Against Gemini-Powered Assistant”.
Leia também: Israel utilizou servidores da Microsoft para espionar milhões de palestinos
Como funciona o ataque
No artigo, os especialistas explicam como a técnica de prompt injection permite interferir no funcionamento do Gemini e acessar funcionalidades da casa inteligente com um simples convite enviado pelo Gmail ou pelo Google Agenda.
Com o prompt injection no Gemini, o atacante pode comprometer as ações da IA do Google. (Fonte: Invitation Is All You Need/Reprodução)
O ataque segue os seguintes passos:
O atacante envia um convite ou e-mail malicioso com comandos ocultos;O usuário pede ao Gemini para resumir a caixa de entrada ou o calendário;O assistente lê os comandos escondidos e altera seu comportamento;O Gemini passa a agir conforme os interesses do invasor, sem que o usuário perceba.
Esse tipo de ataque explora a capacidade da IA de interpretar contexto e manter memória, o que permite influenciar diretamente na forma como o chatbot responde e interage com o ambiente digital e físico do usuário.
O que é prompt injection?
Prompt injection é uma técnica usada para manipular inteligências artificiais generativas. Ela consiste em inserir instruções maliciosas dentro de textos aparentemente comuns. Se o sistema não estiver adequadamente protegido, pode acabar seguindo essas ordens sem perceber a manipulação.
As consequências variam entre respostas incorretas, vazamento de dados e até mudança completa no comportamento da IA — tudo isso sem alertar o usuário de que está sob ataque.
Consequências do ataque via Gemini
Segundo o estudo, as ações que podem ser realizadas com esse tipo de ataque incluem:
Geração de conteúdo tóxico ou ofensivo;Envio de spam;Criação e exclusão de eventos da agenda;Controle total de dispositivos da casa (luzes, cortinas, tomadas etc.);Início de chamadas de vídeo via Zoom;Extração de informações sensíveis armazenadas no e-mail;Rastreamento da localização da vítima em tempo real pelo navegador.
De acordo com a análise de risco TARA incluída no paper, 73% das ameaças identificadas são consideradas altamente críticas para usuários finais.
Quanto mais recursos, mais vulnerabilidades
O estudo ressalta que, quanto mais permissões o Gemini possui, maior o potencial de exploração. O chatbot pode abrir apps, enviar mensagens via WhatsApp ou SMS e realizar ações automatizadas — o que poderia ser usado, por exemplo, para aplicar golpes financeiros com mensagens a contatos próximos.
Google reconhece a falha
O Google foi comunicado sobre a vulnerabilidade e reconheceu o problema descrito pelos pesquisadores. A empresa afirmou que trabalha em soluções para mitigar os riscos, incluindo melhorias na confirmação de ações sensíveis, tratamento de URLs e mecanismos mais robustos de detecção de comandos ocultos.
Confira: Google confirma vazamento de dados, mas afirma ter contido o problema
O paper completo está disponível publicamente. Na página oficial do estudo, há uma descrição mais direta sobre as descobertas.
Quer ficar por dentro das últimas descobertas sobre segurança digital e inteligência artificial? Siga o TecMundo nas redes sociais e acompanhe nossas atualizações diárias sobre tecnologia, privacidade e o futuro da automação.