פגם בגוגל תאומים לסביבת העבודה יכול להיות מנוצל על ידי האקרים כדי להכניס הוראות זדוניות שעלולות לכוון לא נכון את כלי ה- AI ולגרום לו להפנות את המשתמשים לאתרי דיוג.
כפי שפורסם על ידי Dleeping Computer, פגיעות זו פועלת על ידי יצירת סיכומי דוא"ל שנראים נורמליים לחלוטין, אך כוללים הוראות או אזהרות זדוניות המסתתרות ומצייתים אוטומטית על ידי תאומים כאשר היא מייצרת סיכום הודעה.
התהליך פועל על ידי יצירת דוא"ל המחזיק הנחיה בלתי נראית עבור תאומים, על ידי הסתרת הוראות בטקסט הגוף בסוף ההודעה באמצעות קוד HTML ו- CSS ואז הגדרת גודל הגופן לאפס והצבע ללבן. מכיוון שהטקסט הנוסף הזה אינו כולל קבצים מצורפים או קישורים, הוא לא יסומן או ייתפס על ידי תוכנת האנטי -וירוס או תוכניות הדוא"ל הטובות ביותר, כך שסביר להניח שהוא יעבור לתיבת הדואר הנכנס של הקורבן.
כאשר יעד פותח דוא"ל, אז מבקש כי מזל תאומים מסכם את התוכן, תוכנית AI תציית אוטומטית להוראות הנסתרות שהיא רואה. משתמשים לעתים קרובות מכניסים את אמונם ליכולת של תאומים לעבוד עם תוכן כחלק מסביבת העבודה; ההתראה נחשבת לאזהרה לגיטימית במקום זריקה זדונית.
התקפות דומות דווחו בשנה האחרונה, אם כי אמצעי הגנה יושמו על מנת לחסום את התגובות המטעות, הטכניקה נותרה מוצלחת בסך הכל וזו הסיבה שהיא עדיין בשימוש.
מחשב דופק אומר שכששאלו את גוגל על ההגנות להתנגדות לתקיפות מסוג זה, דובר התייחס לפוסט בבלוג על התקפות הזרקה מהירות ואמר כי חלק מההפחתה נמצאים בתהליך של יישום או עומדים לפרוס. גוגל גם אמרה כי אין לה שום עדות לכך שהתקפה זו התרחשה בטבע.
Figueroa, המנהל בתוכנית Bunty Buty של Mozilla Bugs של Mozilla שגילתה את הפגם, מציע כמה רעיונות למניעת איום זה: האם צוותי האבטחה יסירו, מתאזרח או להתעלם מתוכן מעוצב כדי להיות מוסתר בטקסט גוף. לחלופין, הטמיע פילטרים הסורקים תאומים להודעות דחופות, כתובות אתרים, מספרי טלפון ומסמלים את אלה לבדיקה נוספת מהמשתמשים.
אולם לעת עתה, אתה רק צריך להיזהר כאשר יש תאומים מסכמים את המיילים שלך מכיוון שלעולם לא תדע מה יכול להסתתר בתוכם. יש לקוות שגוגל מגלגל תיקון לסוג ההתקפה החדש הזה במוקדם ולא במאוחר.
