Google corrige vulnerabilidade crítica que permite roubo silencioso de dados

A Google corrigiu uma grave vulnerabilidade na sua ferramenta Gemini Command Line Interface (CLI) que poderia permitir a execução de comandos maliciosos e a exfiltração silenciosa de dados, sem o conhecimento do utilizador. A falha, descoberta pela empresa de segurança Tracebit, combinava duas debilidades para enganar a ferramenta e fazê-la executar código malicioso.

O Gemini CLI permite que os programadores interajam com o modelo de linguagem Gemini diretamente a partir da linha de comandos. Por norma, a ferramenta solicita a permissão do utilizador para executar qualquer comando, mas permite que certos comandos sejam adicionados a uma “lista de permissões” para facilitar o trabalho.

O exploit descoberto pela Tracebit combinava duas falhas de forma engenhosa, um bypass de permissões, se um atacante criasse uma instrução que começasse com um comando permitido (como grep), podia adicionar outros comandos maliciosos a seguir (como env ou curl) e o Gemini CLI executá-los-ia sem pedir nova permissão; e a ocultação da saída, ao incluir uma grande quantidade de espaços em branco antes de um comando, a sua saída não era apresentada ao utilizador, tornando a ação invisível.

Para demonstrar a falha, a Tracebit criou um cenário em que um atacante preparava um projeto para um alvo analisar. O projeto continha um ficheiro de código benigno e um ficheiro README.md. Escondida dentro de um longo texto no README.md (como uma licença de software), estava uma injeção de prompt.

Quando o utilizador pedia ao Gemini para analisar o código, a IA lia o README.md e a injeção de prompt era ativada. Esta instruía o Gemini a executar um comando que começava com grep (permitido), seguido de muitos espaços em branco e, depois, os comandos maliciosos que extraíam secretamente dados sensíveis (como variáveis de ambiente) para um servidor externo.

Como resultado, o Gemini CLI executava os comandos e extraía os dados sem deixar qualquer rasto visível para o utilizador. A Tracebit reportou a falha à Google a 27 de junho de 2024, e o problema foi corrigido a 25 de julho de 2024, com o lançamento do Gemini CLI v0.1.14.

Em comunicado, a Google destacou as suas medidas de segurança: “O nosso modelo de segurança para o CLI está centrado em fornecer um sandbox robusto e multicamadas. Oferecemos integrações com o Docker, Podman e macOS Seatbelt...”

No entanto, a Tracebit sublinha que o modo “sem sandbox” é a configuração padrão do Gemini CLI e recomenda que os utilizadores ativem o modo sandbox sempre que possível ao utilizar agentes de IA. A equipa da Tracebit confirmou que, após a correção, o Gemini CLI já solicita permissão para todos os comandos numa instrução, mesmo quando esta começa com um comando previamente permitido.