La scoperta di Gemini Live dà vita a una storia informatica tutto tranne che semplice da considerare: scopriamo di più a riguardo.
Una vulnerabilità critica è stata recentemente scoperta nel browser Google Chrome. Si tratta della CVE-2026-0628, una falla che permetteva alle estensioni di accedere ai contenuti in modo privilegiato attraverso il pannello laterale di Gemini Live, il chatbot di Google integrato nel browser. Ma cosa significa questo per gli utenti? Semplice: l’accesso a microfono, fotocamera, file e la possibilità di eseguire azioni pericolose come scattare screenshot o attivare contenuti di phishing.
La falla nel pannello laterale di Gemini
Gemini Live è stato progettato per offrire un’esperienza interattiva agli utenti, permettendo di generare riassunti di pagine web o ricevere assistenza contestuale. Questo implica che Gemini ha un accesso privilegiato a ciò che l’utente sta visualizzando nel browser, e proprio per questo motivo il rischio associato alla vulnerabilità è stato elevato. Mentre normalmente le estensioni non dovrebbero interferire tra loro o con il funzionamento del browser, la CVE-2026-0628 permetteva a una estensione malevola di iniettare codice JavaScript direttamente nel pannello laterale di Gemini.
Cosa non funziona (www.gamesblog.it)
Questo codice poteva essere sfruttato per eseguire azioni pericolose che normalmente sarebbero state impossibili da compiere da una semplice estensione, come attivare la fotocamera, accedere ai file dell’utente o perfino eseguire operazioni di phishing. Non stiamo parlando di una falla minore: chiunque avesse potuto sfruttare questa vulnerabilità avrebbe avuto accesso a dati sensibili e ad altre risorse riservate, creando un pericolo tangibile per la privacy degli utenti.
I problemi derivanti da questa vulnerabilità non sono teorici: permettere l’accesso al microfono e alla fotocamera attraverso il pannello laterale di Gemini avrebbe potuto consentire agli attaccanti di spiare gli utenti senza il loro consenso. Inoltre, la possibilità di accedere ai file sul computer o fare screenshot in maniera invisibile avrebbe reso molto più facile l’esfiltrazione di dati personali.
Il problema è stato segnalato da Palo Alto Networks, che ha fatto luce sulla gravità della situazione. A questo punto, Google ha rilasciato una patch per correggere la vulnerabilità a gennaio 2026, risolvendo così l’emergenza. Tuttavia, resta una domanda importante: quanti utenti sono stati esposti prima che venisse rilasciata la patch? La risposta è difficile da ottenere, ma la portata del rischio è sicuramente stata significativa.
Impatto quotidiano per gli utenti: come difendersi
La vulnerabilità non si limitava al semplice accesso ai file o alle informazioni personali; l’iniezione di codice JavaScript avrebbe potuto consentire attacchi più sofisticati come trojan o botnet, che avrebbero eseguito azioni dannose in modo del tutto invisibile per l’utente.
Google è riuscita a risolvere il problema con una patch, ma questo episodio solleva interrogativi su quanto la sicurezza venga gestita nel contesto di estensioni e funzionalità integrate nel browser. Mentre il team di Google ha agito prontamente per correggere la vulnerabilità, questo incidente dimostra come anche strumenti molto utilizzati come Chrome possano contenere falle critiche, che possono essere sfruttate in modi subdoli.
Il consiglio per gli utenti è chiaro: mantenere sempre aggiornato il proprio browser e fare attenzione alle estensioni installate. Non tutte le estensioni sono sicure, e le vulnerabilità come questa possono rimanere invisibili per mesi. Chiunque utilizzi il pannello laterale di Gemini o altre funzionalità avanzate dovrebbe essere consapevole che una piccola vulnerabilità può aprire la porta a grandi rischi.
Google ha fatto la sua parte rilasciando una patch, ma gli utenti devono fare la loro, adottando buone pratiche di sicurezza online e rimanendo aggiornati sui rischi emergenti.
