Google Calendar’daki Güvenlik Açığı ve Çözüm Yöntemleri

Güvenlik araştırmacıları, Google Gemini’yi hedef alan dolaylı istem enjeksiyonu içeren bir güvenlik açığını ortaya çıkardılar. Bu açık, yetkisiz erişim sağlama ve veri çıkartmak için Google Takvim‘in gizlilik kontrolünü aşmak üzere tasarlanmış bir mekanizmadır.

Saldırı Nasıl Çalışıyor?

Araştırmacı Liad Eliyahu, bu açığın, standart bir takvim davetiyesi içerisinde saklanmış bir kötü niyetli yük ile Google Takvim’in gizlilik kontrollerinin aşılmasına olanak sağladığını belirtiyor. Saldırı süreci şu şekildedir:

1. Tehdit aktörü, hedefe özel olarak hazırlanmış bir takvim davetiyesi gönderir.
2. Davetiyede, tehdit aktörünün amacına hizmet eden doğal dilde bir istem yer alır.
3. Kullanıcı, takviminde bir toplantı olup olmadığını sorduğunda (örneğin, “Salı günü toplantım var mı?”), yapay zeka sohbet botu bu istemi analiz eder ve belirli bir gün için tüm toplantıları özetler.
4. Gemini, yeni bir takvim etkinliği yaratır ve hedef kullanıcının özel toplantılarına dair tam bir özet oluşturur; bu bilgiler, hedef kullanıcının herhangi bir işlem yapmasına gerek olmadan saldırgan tarafından okunabilir hale gelir.

Etkilenen Sistemler

Bu güvenlik açığı, yalnızca Google Takvim ile sınırlı kalmayıp, yapay zeka tabanlı özelliklerin genişleyen saldırı yüzeylerini ve yeni güvenlik risklerini ortaya koyuyor.

• CVE-2026-0612, CVE-2026-0613, CVE-2026-0615, CVE-2026-0616 numaralı açıklar, The Librarian adındaki yapay zeka destekli kişisel asistan aracını etkiliyor. Bu açıklar, saldırganların iç altyapıya erişimini sağlıyor.
• Cursor uygulamasındaki ciddi bir güvenlik açığı (CVE-2026-22708), dolaylı istem enjeksiyonu ile uzaktan kod çalıştırmaya olanak tanıyor.

Çözüm ve Korunma

Güvenlik riski konusunda alınacak önlemler şunlardır:

• Güncellemelerin kontrol edilmesi: Uygulamanız için güncellemeleri güncel tutun.
• Portların kapatılması: Gereksiz açık portları kapatın.
• Erişim yönetimi: Kullanıcıların yetkilerini sürekli olarak gözden geçirin. CVE-2026-22708 gibi açıkların etkisinin azaltılması için, hizmet hesapları üzerinde denetim yapın.

Bu olay, yapay zeka uygulamalarının manipüle edilebileceğini ve değişen güvenlik dinamiklerinin gözetim ve güvenlik açısından önemli olduğunu vurgulamaktadır.

Aksiyon

Okuyucular, sistemlerini düzenli olarak güncellemeli, portları kapatmalı ve kullanıcı erişimlerini gözden geçirerek yetkisiz erişimi önleyecek önlemleri almalıdır. Unutulmamalıdır ki, güvenlik sadece yazılım güncellemeleri ile sağlanamaz; sürekli değerlendirme ve gözlem de gereklidir.