जीमेलमधील मिथुन इंजेक्शन-आधारित फिशिंग हल्ल्यांना त्वरित असुरक्षित आहे, असे एका संशोधकाने दाखवून दिले. संशोधकानुसार, कृत्रिम बुद्धिमत्ता (एआय) चॅटबॉट जी ईमेल सारांश निर्मिती आणि ईमेल पुनर्लेखन यासारख्या वैशिष्ट्ये ऑफर करते वापरकर्त्यांना फिशिंग संदेश प्रदर्शित करण्यासाठी हाताळले जाऊ शकते. ही असुरक्षितता महत्त्वपूर्ण जोखीम निर्माण करते, कारण हल्लेखोर ऑनलाइन घोटाळे आयोजित करण्यासाठी संभाव्य शोषण करू शकतात. दरम्यान, माउंटन व्ह्यू-आधारित टेक जायंटने असे म्हटले आहे की वापरकर्त्यांविरूद्ध हे हाताळणीचे तंत्र आतापर्यंत पाहिले नाही.
जीमेलमधील मिथुनमधील मिथुन त्वरित इंजेक्शनसाठी असुरक्षित आहे असा संशोधकांचा दावा आहे
असुरक्षितता होती स्पॉट आणि प्रात्यक्षिक एआय टूल्ससाठी मोझिलाच्या बग बाउंटी प्रोग्रामद्वारे मोझिला येथे मोझिला येथील गेनई बग बाउंटी प्रोग्राम्स मॅनेजर संशोधक मार्को फिगुएरोआ द्वारा, 0 डीआयएन. विशेष म्हणजे, ही असुरक्षितता ट्रिगर करण्यासाठी, घोटाळेबाज कोणत्याही हाय-प्रोफाइल सायबर हिस्टला काढण्याची गरज नाही. त्याऐवजी, प्रॉम्प्ट इंजेक्शन म्हणून ओळखल्या जाणार्या तंत्राचा वापर करून हे एका साध्या मजकूर आदेशासह केले जाऊ शकते.
त्वरित इंजेक्शन हा एआय चॅटबॉट्सवर हल्ला करण्याचा एक प्रकार आहे जेथे हल्लेखोर मुद्दाम इनपुट किंवा प्रॉम्प्टमध्ये मॉडेलला अनावश्यक किंवा दुर्भावनायुक्त मार्गाने वागण्यासाठी हाताळते. या विशिष्ट परिस्थितीत, संशोधकाने अप्रत्यक्ष प्रॉम्प्ट इंजेक्शनचा वापर केला, जिथे दुर्भावनायुक्त प्रॉमप्ट दस्तऐवज, ईमेल किंवा वेब पृष्ठामध्ये अंतर्भूत आहे.
संशोधकानुसार, त्याने फक्त एक लांब ईमेल लिहिला आणि शेवटी काही लपविलेले मजकूर जोडले, ज्यात त्वरित इंजेक्शन होते. ईमेलमध्ये कोणतेही URL किंवा संलग्नक नव्हते, ज्यामुळे रिसीव्हरच्या प्राथमिक इनबॉक्सपर्यंत पोहोचणे सोपे झाले.
ईमेलमध्ये लपलेला दुर्भावनापूर्ण संदेश जोडत आहे
फोटो क्रेडिट: 0 डीआयएन/मार्को फिगुएरोआ
प्रतिमेमध्ये दर्शविल्याप्रमाणे, हल्लेखोरांनी दुर्भावनायुक्त संदेश लिहिण्यासाठी पांढर्या पृष्ठावर पांढरा रंग फॉन्ट वापरला. हा मजकूर सामान्यत: ईमेल प्राप्तकर्त्यास अदृश्य असतो. लपविलेले मजकूर जोडण्याच्या इतर मार्गांमध्ये शून्य फॉन्ट आकार, ऑफ-स्क्रीन मजकूर प्लेसमेंट आणि इतर एचटीएमएल किंवा सीएसएस युक्त्यांचा समावेश आहे.
आता, रिसीव्हरने जेमिनीचे “सारांश ईमेल” वैशिष्ट्य वापरल्यास, चॅटबॉट लपलेल्या मजकूरावर प्रक्रिया करेल आणि वापरकर्त्यास कधीही न शोधता आज्ञा पाळेल, असे फिगुएरोआ म्हणाले. त्याने हायलाइट केले की आदेशानंतर चॅटबॉटची शक्यता वाढते जर संदेश प्रशासक टॅगमध्ये लपेटला गेला असेल तर तो उच्च-प्राधान्य विनंती मानतो.
मिथुन शब्दशः सारांशात दुर्भावनायुक्त संदेशाची पुनरावृत्ती करते
फोटो क्रेडिट: 0 डीआयएन/मार्को फिगुएरोआ
सायबरसुरिटीच्या संशोधकाने दुसर्या स्क्रीनशॉटमध्ये दर्शविले की जेमिनीने खरोखरच दुर्भावनायुक्त संदेश केला आणि ईमेल सारांशाचा भाग म्हणून तो प्रदर्शित केला. हा संदेश आता मिथुनहून येत असल्याने, संभाव्य अनोळखी व्यक्तीच्या ईमेलऐवजी, पीडितेला यावर विश्वास ठेवण्याची आणि घोटाळ्यासाठी पडलेल्या सूचनांचे अनुसरण करण्याची शक्यता जास्त असू शकते.
ब्लीपिंग कॉम्प्यूटर बाहेर पोहोचले Google ला असुरक्षिततेबद्दल विचारण्यासाठी आणि प्रवक्त्याने सांगितले की कंपनीने आतापर्यंत समान हाताळणीचा कोणताही पुरावा पाहिला नाही. याव्यतिरिक्त, हे देखील अधोरेखित केले गेले होते की Google त्वरित इंजेक्शन-आधारित विरोधी हल्ल्यांसाठी काही शमन अंमलात आणण्याच्या प्रक्रियेत आहे.
