Google Chrome’un entegre Gemini yapay zekâ asistanında kritik bir güvenlik açığı keşfedildi. “CVE-2026-0628” koduyla takip edilen bu zafiyet, kötü niyetli kişiler için kullanıcı kameralarına, mikrofonlarına ve yerel dosyalara yetkisiz erişim imkânı sunarken kullanıcı etkileşimi gerektirmeyen kimlik avı saldırılarını da mümkün hâle getiriyor.
Yapay Zekâ Destekli Tarayıcıların Yükselişi ve Beraberinde Getirdiği Riskler
Açığı, Palo Alto Networks’ten Unit 42 araştırmacıları keşfetti ve 23 Ekim 2025’te Google’a bildirdi. Google, sorunu 5 Ocak 2026’da yayınladığı güncellemeyle sessizce giderdi.
Gemini Live, Chrome’da yerleşik olarak çalışan bir yapay zekâ paneli olarak tarayıcı içinde gerçek zamanlı sayfa özetleme, görev otomasyonu ve bağlamsal yardım sağlıyor. Panel, doğru şekilde çalışabilmek için kamera, mikrofon, ekran görüntüsü ve yerel dosya erişimi gibi ayrıcalıklı izinlere sahip.
Güvenlik açığının temel nedeni, Chrome’un declarativeNetRequest API’sini Gemini paneli ve normal tarayıcı sekmesi arasında farklı şekilde işlemesi olarak belirlendi. Bu sayede yalnızca temel izinlere sahip bir kötü amaçlı uzantı, Gemini paneline zararlı JavaScript enjekte edebiliyor ve panelin tüm ayrıcalıklarını devralabiliyordu.
Açığın sağlayabileceği başlıca riskler şöyle:
- Kamera ve mikrofonun izinsiz etkinleştirilmesi ile sessiz gözetim
- Ekran görüntüsü alınarak hassas verilerin çalınması
- Yerel dosya ve dizinlere erişim ile sistem düzeyinde veri hırsızlığı
- Güvenilir panel üzerinden kimlik avı saldırıları
Bu durum, özellikle kurumsal ortamlar için ciddi bir risk oluşturuyor; çalışanların kameraları, mikrofonları ve dosyalarına sızılması kurumsal casusluk ve veri sızıntısı senaryolarını doğurabiliyor. Kullanıcıların ve kurumların tüm Chrome kurulumlarını derhal güncelleyerek korunmaları öneriliyor.
Kaynak: cybersecuritynews.com
