Una vulnerabilità di sicurezza ad alta severità è stata scoperta nell'assistente AI integrato di Google Chrome, Gemini, esponendo gli utenti all'accesso non autorizzato a fotocamera e microfono, al furto di file locali e ad attacchi di phishing, il tutto senza richiedere alcuna interazione da parte dell'utente oltre all'avvio del pannello AI integrato nel browser.
Tracciata come CVE-2026-0628 (CVSS score: 8.8) e soprannominata "Glic Jack" (da Gemini Live in Chrome hijack), la falla è stata scoperta dai ricercatori di Unit 42 di Palo Alto Networks e comunicata responsabilmente a Google il 23 ottobre 2025. Google ha confermato il problema e rilasciato una patch il 5 gennaio 2026, prima della divulgazione pubblica avvenuta il 2 marzo 2026.
L'ascesa dei "Browser Agentici" e i nuovi rischi
Gemini Live in Chrome fa parte di una classe crescente di "AI browsers" che integrano assistenti AI direttamente nell'ambiente di navigazione. Questi assistenti, che includono anche Microsoft Copilot in Edge e prodotti standalone come Atlas e Comet, operano come pannelli laterali privilegiati in grado di riassumere pagine web in tempo reale, automatizzare task e fornire assistenza contestuale.
Poiché questi pannelli AI necessitano di una visione "multimodale" dello schermo dell'utente per funzionare efficacemente, Chrome concede al pannello Gemini permessi elevati, tra cui l'accesso alla fotocamera, al microfono, ai file locali e la capacità di catturare screenshot. Questa architettura privilegiata, pur abilitando potenti funzionalità, amplia drammaticamente la superficie d'attacco del browser.
Analisi tecnica: come funzionava l'exploit
La falla risiedeva nel modo in cui Chrome gestiva l'API declarativeNetRequest, un permesso standard per le estensioni del browser che consente loro di intercettare e modificare richieste e risposte HTTPS (ampiamente utilizzata, ad esempio, dagli ad-blocker).
I ricercatori hanno trovato una distinzione critica nel modo in cui Chrome elaborava le richieste a https://gemini.google.com/app:
- in una normale scheda: quando l'URL viene caricato in una normale scheda del browser, le estensioni possono intercettare e iniettare JavaScript, ma questo non garantisce privilegi speciali.
- nel pannello Gemini: quando lo stesso URL viene caricato all'interno del pannello laterale di Gemini, Chrome lo aggancia con capacità elevate a livello di browser (attraverso il tag
<webview>).
Sfruttando questa incoerenza, un'estensione malevola con permessi base potrebbe iniettare codice JavaScript arbitrario nel pannello privilegiato di Gemini, di fatto dirottando un componente fidato del browser ed ereditando tutto il suo accesso elevato.
Impatto e capacità dell'attacco
Una volta che un attaccante ha ottenuto il controllo del pannello Gemini tramite questa tecnica, poteva eseguire le seguenti azioni senza alcuna interazione dell'utente (se non il clic sul pulsante Gemini):
| Capacità dell'attacco | Impatto |
|---|---|
| Attivazione camera e microfono | Sorveglianza silenziosa senza consenso dell'utente. |
| Cattura screenshot | Esfiltrazione di dati sensibili visualizzati sullo schermo. |
| Accesso a file e directory locali | Furto di file a livello di sistema operativo. |
| Phishing tramite pannello fidato | Attacchi di inganno ad alta credibilità. |
Il rischio di phishing è particolarmente pericoloso perché il pannello Gemini è un componente integrato e fidato del browser. Il contenuto malevolo visualizzato al suo interno gode di una legittimità intrinseca che le pagine di phishing tradizionali non hanno.
Il ruolo delle estensioni malevole
Gli attacchi basati su estensioni sono stati storicamente considerati a basso rischio a causa dei prerequisiti necessari per l'installazione di un'estensione malevola. Tuttavia, l'integrazione di pannelli AI privilegiati cambia fondamentalmente questo calcolo.
Il numero di estensioni malevole distribuite negli store ufficiali è cresciuto significativamente. Molte vengono rimosse rapidamente, ma non prima di aver raggiunto migliaia di utenti. Inoltre, estensioni legittime sono state talvolta compromesse o vendute ad attori malevoli che hanno poi distribuito aggiornamenti malevoli a utenti ignari, trasformando strumenti fidati in armi silenziose.
In contesti aziendali, un'estensione compromessa che ottiene l'accesso a camera, microfono e file locali rappresenta un grave rischio per la sicurezza organizzativa, con potenziale per spionaggio industriale ed esfiltrazione di dati proprietari.
Come proteggersi
Google ha rilasciato la correzione il 5 gennaio 2026 con la versione 143.0.7499.192 (o successive).
- aggiornamento immediato: assicurarsi che Chrome sia aggiornato all'ultima versione disponibile su tutti gli endpoint.
- audit delle estensioni: rivedere periodicamente le estensioni installate e rimuovere quelle non necessarie o di provenienza dubbia.
- principio del minimo privilegio: in ambito enterprise, limitare la capacità degli utenti di installare estensioni non approvate.
La vicenda sottolinea che la sicurezza dei modelli AI e delle loro integrazioni non riguarda solo la qualità dell'output, ma anche la robustezza dell'infrastruttura che li ospita.
Riferimenti: