Cercetătorii de securitate de la SafeBreach Labs au dezvăluit pe 2 iunie 2026 o vulnerabilitate de tip prompt injection în asistentul vocal Android al Google Gemini, care le permitea atacatorilor să deturneze în tăcere inteligența artificială prin intermediul unor sarcini malițioase ascunse în notificările obișnuite de mesagerie din WhatsApp, Slack, SMS, Signal, Instagram sau Messenger. Google a confirmat că un patch pe partea de server a fost implementat în noiembrie 2025, după ce vulnerabilitatea a fost raportată în august 2025.
Cum a funcționat atacul
Vulnerabilitatea a vizat agentul Android Utilities al Gemini — mai precis, instrumentul responsabil pentru citirea notificărilor primite de la aplicații terțe. Deoarece această componentă procesează date nesigure de la oricine poate trimite un mesaj către un dispozitiv, atacatorii puteau crea mesaje cu instrucțiuni ascunse pe care Gemini le absorb în contextul conversațional fără niciun semnal vizibil pentru utilizator.
Pentru a ocoli filtrele de securitate existente ale Google, echipa SafeBreach a dezvoltat o tehnică pe care au numit-o „Fake Context Alignment” (Aliniere Falsă a Contextului), care crea o dublă iluzie: prezenta un scenariu de autorizare legitim mecanismelor de securitate ale Gemini, în timp ce prezenta victimei un scenariu complet diferit și inofensiv. O variantă încorpora cereri malițioase într-o limbă străină pe care motorul text-to-speech o citea cu voce tare, dar pe care utilizatorii nu o înțelegeau; o alta ascundea instrucțiuni periculoase în textul unor hyperlinkuri pe care motorul vocal le omitea cu totul.
Scenarii de impact în lumea reală
Cercetătorii au demonstrat cinci categorii de abuzuri în medii controlate. Acestea includeau controlul dispozitivelor dintr-o casă inteligentă, cum ar fi ferestrele motorizate și luminile, forțarea telefonului să se alăture apelurilor Zoom și să transmită camera victimei, otrăvirea memoriei pe termen lung a Gemini cu informații false care s-au răspândit pe toate dispozitivele conectate la același cont Google și falsificarea mesajelor din partea unor contacte de încredere pentru a permite inginerie socială la scară largă.
„Și mai îngrijorător, acest atac poate fi executat complet orb”, a scris Or Yair, cercetător la SafeBreach, explicând că payload-ul ar putea instrui Gemini să atribuie un mesaj fals persoanei care apărea prima în coada de notificări — fără a necesita nicio cunoaștere prealabilă a contactelor victimei.
Divulgare și remediere
SafeBreach a raportat descoperirile către Programul de Recompense pentru Vulnerabilități al Google pe 17 august 2025. Pe 14 noiembrie 2025, Google a confirmat că îmbunătățirile aduse clasificatorului său de conținut au atenuat atacurile de tip prompt injection indirect și scenariile de invocare întârziată a instrumentelor, descrise în cercetare. Nu a fost atribuit niciun identificator CVE public.
Divulgarea urmează un tipar de descoperiri privind prompt injection împotriva Gemini din ultimul an, inclusiv atacuri bazate pe calendar prezentate la Black Hat USA și DEF CON în august 2025, precum și o vulnerabilitate de deturnare a extensiilor Chrome remediată în ianuarie 2026.
Surse:
https://pasqualepillitteri.it/en/news/4146/gemini-prompt-injection-notifications-whatsapp-slack
Chrome flaw let extensions hijack Gemini’s camera, mic, and file access
Gemini’s Secret Affair: Exploiting Gemini Voice Assistant Through Instant Messaging Apps