Das betroffene Seitenpanel nutzt eine neue URL “chrome://glic”, die über eine WebView-Komponente die Web-App “gemini.google[.]com” lädt. Aufrufen lässt es sich über das Gemini-Symbol oben rechts in der Chrome-Symbolleiste. Die Gemini-Integration hatte Google im September 2025 in Chrome eingeführt.
Kern des Problems ist nach Darstellung von Unit 42, dass das Einbetten eines KI-Seitenpanels in den hochprivilegierten Kontext des Browsers klassische Sicherheitsrisiken zurückbringt. “Indem Entwickler diese neue Komponente in den hochprivilegierten Kontext des Browsers platzieren, können sie unbeabsichtigt neue logische Fehler und Implementierungsschwächen schaffen”, erklärte Weizman. Dazu zählten Schwachstellen im Zusammenhang mit Cross-Site-Scripting (XSS), Rechteausweitung und Seitenkanalangriffen, die sich von weniger privilegierten Websites oder Browser-Erweiterungen ausnutzen ließen.
Obwohl Browser-Erweiterungen nur im Rahmen fest definierter Berechtigungen arbeiten, hebelt ein erfolgreicher Angriff über CVE-2026-0628 das Sicherheitsmodell des Browsers aus: Angreifer konnten beliebigen Code auf “gemini.google[.]com/app” über das Browserpanel ausführen und an sensible Daten gelangen. Nach Weizmans Angaben genügte eine Erweiterung mit Zugriff auf die declarativeNetRequest-API, um JavaScript-Code in das neue Gemini-Panel einzuschleusen.
Die declarativeNetRequest-API erlaubt es Erweiterungen, Eigenschaften von HTTPS-Anfragen und -Antworten abzufangen und zu verändern; genutzt wird sie etwa von Werbeblockern, um das Nachladen von Anzeigen zu unterbinden. Laut Weizman, der sich auf X äußerte, lag der Fehler in der Auslegung von Chromium darin, dass WebView-Komponenten – mit denen “chrome://glic” die Web-App von Gemini einbettet – bei der Anwendung der declarativeNetRequest-Regeln versehentlich nicht ausgeschlossen wurden.
Für einen Angriff musste also lediglich ein ahnungsloser Nutzer dazu gebracht werden, eine eigens präparierte Erweiterung zu installieren. Diese konnte anschließend beliebigen JavaScript-Code in das Gemini-Seitenpanel einschleusen, um auf das Dateisystem zuzugreifen, Screenshots anzufertigen, die Kamera anzusteuern und das Mikrofon zu aktivieren – allesamt Funktionen, die der KI-Assistent für seine Aufgaben benötigt.
Unit 42 verweist auf ein grundlegenderes Problem: KI- und Agenten-Funktionen direkt in Browser einzubauen, eröffnet einen neuen Angriffsvektor. Solche Agenten brauchen privilegierten Zugriff auf die Browserumgebung, um mehrstufige Abläufe auszuführen – was zur zweischneidigen Sache wird, wenn ein Angreifer versteckte Anweisungen in eine schädliche Webseite einbettet und ein Opfer per Social Engineering dorthin gelockt wird. Solche Anweisungen könnten den Assistenten zu Aktionen veranlassen, die der Browser sonst blockieren würde, bis hin zu Datenabfluss oder Codeausführung; im schlimmsten Fall lasse sich der Agent dazu bringen, die Anweisungen im Speicher abzulegen, sodass sie über Sitzungen hinweg bestehen bleiben.
“Dieser Unterschied, welche Art von Komponente die Gemini-App lädt, ist die Grenze zwischen vorgesehenem Verhalten und einer Sicherheitslücke”, so Unit 42. Dass eine Erweiterung eine Website beeinflusse, sei zu erwarten – dass sie aber eine fest in den Browser eingebaute Komponente beeinflusse, sei ein ernstes Sicherheitsrisiko.
