{"id":15947,"date":"2026-03-04T11:52:35","date_gmt":"2026-03-04T14:52:35","guid":{"rendered":"https:\/\/fenati.org.br\/?p=15947"},"modified":"2026-03-04T14:49:22","modified_gmt":"2026-03-04T17:49:22","slug":"falha-gemini-live-permitia-acessar-camera-usuario","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/falha-gemini-live-permitia-acessar-camera-usuario\/","title":{"rendered":"Falha no Gemini Live permitia acessar c\u00e2mera e arquivos do usu\u00e1rio"},"content":{"rendered":"<p><strong>Gemini Live &#8211;<\/strong> Especialistas da equipe Unit 42, da Palo Alto Networks, identificaram uma vulnerabilidade considerada de alta gravidade (CVE-2026-0628) no Gemini Live, assistente de intelig\u00eancia artificial incorporado ao <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Google_Chrome\" rel=\"nofollow noopener\" target=\"_blank\">Google Chrome<\/a>.<\/p>\n<p>A falha possibilitava que extens\u00f5es com permiss\u00f5es b\u00e1sicas inserissem c\u00f3digo JavaScript no painel do Gemini e herdassem privil\u00e9gios ampliados, permitindo acesso indevido a recursos do sistema operacional.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/meta-gravacoes-intimas-oculos-inteligentes-ia\/\"><strong>LEIA: Meta usa grava\u00e7\u00f5es \u00edntimas de \u00f3culos inteligentes para treinar IA, dizem jornais<\/strong><\/a><\/p>\n<p>Catalogada como CVE-2026-0628 e com pontua\u00e7\u00e3o 8,8 na escala CVSS, a brecha foi atribu\u00edda \u00e0 aplica\u00e7\u00e3o inadequada de pol\u00edticas de seguran\u00e7a na tag WebView \u2014 situa\u00e7\u00e3o em que o aplicativo n\u00e3o imp\u00f5e restri\u00e7\u00f5es suficientes ao carregar conte\u00fado da web.<\/p>\n<p>O problema foi solucionado pelo Google no come\u00e7o de janeiro de 2026, nas vers\u00f5es 143.0.7499.192\/.193 para Windows e macOS e 143.0.7499.192 para Linux.<\/p>\n<p>&#8220;A aplica\u00e7\u00e3o insuficiente de pol\u00edticas na tag WebView no Google Chrome anterior \u00e0 vers\u00e3o 143.0.7499.192 permitia que um invasor que convencesse um usu\u00e1rio a instalar uma extens\u00e3o maliciosa injetasse scripts ou HTML em uma p\u00e1gina privilegiada por meio de uma extens\u00e3o Chrome especialmente elaborada&#8221;, de acordo com descri\u00e7\u00e3o publicada no Banco de Dados Nacional de Vulnerabilidades do NIST.<\/p>\n<p>O pesquisador Gal Weizman, respons\u00e1vel por identificar e reportar a falha, afirmou que o erro poderia ter possibilitado que extens\u00f5es mal-intencionadas com permiss\u00f5es simples assumissem o controle do novo painel Gemini Live no navegador.<\/p>\n<h4>Como a falha funcionava<\/h4>\n<p>A API declarativeNetRequest, dispon\u00edvel para extens\u00f5es com permiss\u00f5es comuns, permite interceptar requisi\u00e7\u00f5es destinadas ao endere\u00e7o gemini.google.com\/app. Quando acessado em uma aba convencional, esse endpoint n\u00e3o concede privil\u00e9gios adicionais.<\/p>\n<p>Entretanto, ao ser carregado dentro do painel integrado do navegador, o componente recebe conex\u00f5es que liberam acesso a recursos restritos. A aus\u00eancia de distin\u00e7\u00e3o clara entre os dois contextos fazia com que a extens\u00e3o maliciosa herdasse esses mesmos privil\u00e9gios ampliados.<\/p>\n<p>Com a explora\u00e7\u00e3o bem-sucedida \u2014 que exigia apenas que o usu\u00e1rio abrisse o painel \u2014 era poss\u00edvel ativar c\u00e2mera e microfone sem consentimento expl\u00edcito, capturar telas de qualquer aba com conte\u00fado HTTPS, acessar arquivos e pastas do sistema e at\u00e9 exibir p\u00e1ginas falsas de phishing dentro do pr\u00f3prio painel do Gemini.<\/p>\n<h4>Por que extens\u00f5es maliciosas representam amea\u00e7a<\/h4>\n<p>Como o painel do Gemini faz parte da interface nativa do navegador \u2014 e n\u00e3o aparece como aba ou janela separada \u2014 usu\u00e1rios tendem a enxerg\u00e1-lo como ambiente confi\u00e1vel do Chrome. Isso tornava conte\u00fados fraudulentos exibidos ali praticamente indistingu\u00edveis de elementos leg\u00edtimos.<\/p>\n<p>O epis\u00f3dio tamb\u00e9m reacende o debate sobre o hist\u00f3rico de riscos associados a extens\u00f5es. Tradicionalmente, o modelo de seguran\u00e7a posiciona extens\u00f5es acima de p\u00e1ginas web na hierarquia de privil\u00e9gios, mas abaixo dos componentes internos do navegador, o que limitava danos em caso de comprometimento.<\/p>\n<p>Com a inclus\u00e3o de um m\u00f3dulo de IA altamente privilegiado acess\u00edvel por extens\u00f5es, essa barreira foi parcialmente enfraquecida. O risco cresce diante do aumento de extens\u00f5es maliciosas em lojas oficiais e de registros de extens\u00f5es leg\u00edtimas que foram compradas por agentes mal-intencionados e republicadas com c\u00f3digo injetado.<\/p>\n<p>Em ambientes corporativos, o acesso n\u00e3o autorizado a c\u00e2mera, microfone e arquivos locais pode resultar em espionagem e vazamento de informa\u00e7\u00f5es sens\u00edveis.<\/p>\n<p>Ap\u00f3s identificar o problema, a equipe da Palo Alto Networks adotou o protocolo de divulga\u00e7\u00e3o respons\u00e1vel e comunicou o Google antes de tornar a falha p\u00fablica, concedendo prazo para corre\u00e7\u00e3o.<\/p>\n<p>O alerta foi enviado em 23 de outubro de 2025. A empresa confirmou que conseguiu reproduzir o ataque e disponibilizou a atualiza\u00e7\u00e3o corretiva no in\u00edcio de janeiro de 2026, pouco mais de dois meses depois.<\/p>\n<h4>IA integrada ao navegador e os novos riscos de seguran\u00e7a<\/h4>\n<p>Nos \u00faltimos anos, navegadores deixaram de funcionar apenas como portas de entrada para sites. Empresas como Google e Microsoft passaram a integrar assistentes de intelig\u00eancia artificial diretamente ao browser, geralmente em barras laterais capazes de visualizar o conte\u00fado da p\u00e1gina, resumir textos, executar comandos e responder perguntas em tempo real.<\/p>\n<p>No Chrome, essa funcionalidade atende pelo nome de Gemini Live. Para operar plenamente, o recurso exige autoriza\u00e7\u00f5es sens\u00edveis, como acesso \u00e0 c\u00e2mera, ao microfone, \u00e0 tela e at\u00e9 a diret\u00f3rios do computador. Concentrar tantas permiss\u00f5es em um \u00fanico m\u00f3dulo, por\u00e9m, amplia significativamente o impacto de qualquer vulnerabilidade.<\/p>\n<p>Esse cen\u00e1rio cria dois vetores principais de risco. O primeiro diz respeito ao uso da IA como intermedi\u00e1ria suscet\u00edvel a manipula\u00e7\u00e3o: p\u00e1ginas maliciosas podem induzir o assistente a executar a\u00e7\u00f5es que normalmente seriam bloqueadas pelas pol\u00edticas de seguran\u00e7a do navegador, como extra\u00e7\u00e3o de dados e viola\u00e7\u00e3o da pol\u00edtica de mesma origem, por meio de t\u00e9cnicas de prompt injection.<\/p>\n<p>O segundo vetor, foco da an\u00e1lise, envolve o ressurgimento de falhas cl\u00e1ssicas. Ao adicionar um componente complexo e altamente privilegiado ao navegador, desenvolvedores podem, sem perceber, abrir espa\u00e7o para vulnerabilidades como XSS, escalonamento de privil\u00e9gios e ataques de canal lateral explor\u00e1veis por extens\u00f5es ou sites com menos permiss\u00f5es.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de TecMundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/lazy_bear)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Especialistas descobriram que extens\u00f5es com permiss\u00f5es b\u00e1sicas conseguiam injetar c\u00f3digo no painel da IA<\/p>","protected":false},"author":11,"featured_media":15948,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-15947","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15947","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=15947"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15947\/revisions"}],"predecessor-version":[{"id":15949,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15947\/revisions\/15949"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/15948"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=15947"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=15947"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=15947"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}