Méfiez-vous de la rapidité: comment les chercheurs sont entrés par effraction dans Google Home via Gemini

Les principaux plats de ZDNET

• Les chercheurs ont démontré un moyen de pirater les appareils Google Home via Gemini.
• Google a mis en place des garanties supplémentaires pour les Gémeaux en réponse.
• Garder vos appareils à jour sur les correctifs de sécurité est la meilleure protection.

L’idée que l’intelligence artificielle (IA) pourrait être utilisée pour contrôler malicieusement votre maison et votre vie est l’une des principales raisons pour lesquelles beaucoup hésitent à adopter la nouvelle technologie – c’est carrément effrayant. Presque aussi effrayant que de faire pirater vos appareils intelligents. Et si je vous disais que certains chercheurs viennent d’accomplir cela?

Aussi: Pourquoi les outils de sécurité propulsés par l’IA sont votre arme secrète contre les attaques de demain

Rechercheurs de cybersécurité de plusieurs institutions démontré une vulnérabilité majeure Dans le modèle d’IA populaire de Google, Gemini. Ils ont lancé une attaque d’injection rapide contrôlée et indirecte – AKA Promptware – pour inciter les Gémeaux à contrôler les appareils de maison intelligents, comme allumer une chaudière et ouvrir des volets. Il s’agit d’une démonstration d’un système d’IA provoquant des actions physiques du monde réel à travers un détournement numérique.

Comment l’attaque a fonctionné

Un groupe de chercheurs de l’Université de Tel Aviv, Technion et SafeBreach ont créé un projet appelé « L’invitation est tout ce dont vous avez besoin« Ils ont intégré des instructions malveillantes dans les invitations du calendrier Google, et lorsque les utilisateurs ont demandé aux Gemini de » résumer mon calendrier « , l’assistant d’IA a déclenché des actions pré-programmées, notamment le contrôle des appareils de maison intelligente sans que les utilisateurs se demandent.

Le projet est nommé comme un jeu sur les mots du célèbre document de l’IA, « l’attention est tout ce dont vous avez besoin » et a déclenché des actions comme ouvrir des volets intelligents, allumer une chaudière, envoyer des spams et des messages offensifs, fuir des e-mails, démarrer des appels de zoom et télécharger des fichiers.

Ces actions pré-programmées ont été intégrées à l’aide de la technique d’injection rapide indirecte. C’est lorsque les instructions malveillantes sont cachées dans une invite ou un objet apparemment innocent, dans ce cas, le calendrier Google invite.

Comment cela vous affecte

Il convient de noter que, même si l’impact était réel, cela a été fait comme une expérience contrôlée pour démontrer une vulnérabilité dans les Gémeaux; Ce n’était pas un véritable hack en direct. C’est un moyen de démontrer à Google que cela pourrait se produire si les mauvais acteurs décidaient de lancer une telle attaque.

Aussi: 8 gadgets de maison intelligente qui ont instantanément amélioré ma maison (et pourquoi ils fonctionnent)

En réponse, Google a mis à jour ses défenses et a mis en œuvre des garanties plus fortes pour les Gémeaux. Ceux-ci incluent le filtrage des sorties, nécessitant une confirmation explicite de l’utilisateur pour les actions sensibles et la détection dirigée par l’IA des invites suspectes. Ce dernier est potentiellement problématique car l’IA est largement imparfait, mais il y a des choses que vous pouvez faire pour protéger davantage vos appareils des cyberattaques.

Ce que vous pouvez faire pour protéger vos appareils

Bien que cette attaque ait été lancée avec Gemini et Google Home, les recommandations suivantes sont de bonnes moyens de protéger vous-même et vos appareils contre les mauvais acteurs.

• Limitez vos autorisations dans votre application Smart Home. Ne donnez pas Gemini, Siri ou d’autres assistants à domicile intelligents de contrôle des appareils sensibles, sauf si vous en avez besoin. Par exemple, je laisse Alexa accéder à mes caméras mais ne laissez pas l’assistant vocal contrôler mes serrures intelligentes.
• Soyez conscient des services auxquels vous vous connectez avec les Gémeaux et d’autres assistants vocaux. Plus vous connectez d’appareils et d’applications à votre assistant AI (comme Gmail, votre calendrier, etc.), plus les prétendants des points d’entrée sont potentiels.
• Surveillez les comportements inattendus de vos appareils et assistants d’IA et, si quelque chose semble éteint, révoquez les autorisations et signalez-les.

Aussi: Meilleur logiciel antivirus: mes favoris, classés, pour la sécurité des appareils personnels

En règle générale, vous devez toujours garder vos appareils et applications à jour avec les dernières mises à jour du micrologiciel. Cela garantit que vous obtenez les derniers correctifs de sécurité pour conjurer les attaques.

Vous voulez plus d’histoires sur l’IA? Inscrivez-vous à l’innovationnotre newsletter hebdomadaire.