Известувањата од WhatsApp и Slack можеле да го преземат Google Gemini на Android

Едно единствено злонамерно известување од WhatsApp, Slack, SMS, Signal, Instagram или Messenger можело да го компромитира гласовниот асистент Google Gemini на Android и да го натера да отвори поврзани прозорци на жртвата, да прикаже лажна порака од нејзиниот претпоставен, да го вклучи телефонот во Zoom состанок или дури тивко да ја „затруе“ неговата долгорочна меморија.

За нападот не била потребна никаква злонамерна апликација инсталирана на телефонот. Доволно било асистентот да го протолкува непријателското известување како корисен контекст.

Истражувањето го објави Ор Јаир од SafeBreach и претставува продолжение на нивната претходна работа наречена „Invitation Is All You Need“, во која слични напади биле изведени преку злонамерни покани во Google Calendar. По тоа истражување, Google воведе дополнителни заштити во Gemini против таканаречените индиректни prompt injection напади.

Сепак, Јаир пронашол начин да ги заобиколи новите заштитни механизми. Google во меѓувреме го закрпил проблемот, SafeBreach не навел CVE-ознака за оваа ранливост, а нема докази дека техниката некогаш била искористена во реални напади.

На Android, функцијата Utilities на Gemini може да ги чита и да одговара на известувањата од телефонот, вклучувајќи ги и оние од апликации како WhatsApp. Оваа функција не е достапна на iOS или на веб-верзијата, што го прави овој напад специфичен за Android.

Јаир открил дека агентот кој ги обработува известувањата го третира нивниот текст како инструкции што може да ги изврши. Тоа значи дека секој што може да испрати известување на телефон потенцијално може да испорача и злонамерен „товар“ (payload). Според Јаир, ваквата површина за напад е „практично бесконечна“.

Во наједноставен случај, напаѓачот може да го измени она што Gemini ќе му го каже на корисникот, вклучувајќи и прикажување лажна порака како да е испратена од одреден контакт.

На пример, додека возите и не гледате во екранот, Gemini би можел гласно да ви каже:

„Вашиот менаџер побара да ги прикачите документите во оваа Drive папка.“

Во таква ситуација е тешко веднаш да се посомневате дека пораката е лажна.

Уште поопасна е варијантата без визуелна потврда. Во тој случај злонамерниот код се активира откако Gemini веќе ги вчитал вистинските известувања. Така може да го земе името на првиот реален испраќач во редицата и да ја припише лажната порака токму на тој контакт.

Лажирањето на одговорите е едно, но активирањето на вистински функции — како отворање прозорци или стартување апликации — е токму она што заштитите воведени по „Invitation Is All You Need“ требало да го спречат.

Според анализата на Јаир, добиена преку таканаречено „black-box“ тестирање, кога корисникот треба да потврди чувствителна акција со одговор „Да“, системот проверува и што рекол корисникот и кој бил последниот одговор на Gemini за да утврди дали тоа „Да“ има логична смисла.

Кога злонамерната инструкција се вметнувала ненадејно и без контекст, Gemini одбивал да ја изврши чувствителната акција — и тоа секојпат

Заобиколувањето на заштитите, кое Јаир го нарече Fake Context Alignment (Лажно усогласување на контекстот), функционирало преку две истовремени илузии: легитимно изгледачко барање за авторизација за безбедносната проверка и безопасна интеракција за корисникот.

Замаглено (Obfuscated). Gemini го поставува вистинското прашање за авторизација на јазик што жртвата не го разбира, на пример кинески („Дали сакате да го отворите прозорецот?“), а потоа продолжува на англиски со нешто безопасно како „Дали тоа беше сè што ви требаше?“. Корисникот ја игнорира фразата на странски јазик мислејќи дека е грешка и одговара „Да“, а системот во позадина го поврзува тоа „Да“ со прашањето на кинески.

Замолчено (Muted). Системот за претворање текст во говор на Gemini не ги чита наглас хиперврските скриени зад кликабилен текст. Така, злонамерното прашање се сокрива во линк што асистентот никогаш не го изговара. Gemini кажува: „Извинете, настана грешка, дали сте тука?“, додека на екранот тивко стои прашањето „Дали сакате да го отворите прозорецот?“. Возачот одговара „Да“, безбедносната проверка го гледа текстот на екранот и прозорците се отвораат.

Комбинирањето на двете техники – кинеско барање за авторизација скриено во замолчен линк – создава напад што звучи како сосема нормален разговор на англиски јазик, а истовремено успешно ги поминува најновите безбедносни проверки на Google.

Откако ќе се помине авторизациската бариера, последиците биле слични на оние од претходното истражување, но и пошироки:

• Контрола на паметен дом преку Google Home: поврзани прозорци, котли за греење и светилки.
• Следење и преземања: отворање URL-адреси за одредување на локацијата на жртвата преку IP-адресата или иницирање преземање датотеки.
• Преминување во други апликации: во демонстрацијата, Јаир конфигурирал безбедно изгледачки домен да пренасочува кон Zoom-врска, а Gemini ја следел без дополнителна потврда, принудувајќи го телефонот да се приклучи на состанок и да пренесува видео. Според него, тоа функционирало затоа што Gemini му верувал на доменот откако претходно прикажувал легитимна содржина, а потоа ја следел подоцнежната пренасочувачка врска. SafeBreach нагласува дека нивниот домен никогаш не пренасочувал кон Zoom; пренасочувањето било извршено преку локален сервер на тест-уредот.
• Труење на меморијата, нешто што претходната техника со календарски покани не успеала да го постигне. Fake Context Alignment симулира согласност од корисникот, па Gemini трајно зачувува информација избрана од напаѓачот. Во демонстрацијата било зачувано дека името на жртвата е „Danny“. Бидејќи меморијата е поврзана со корисничката сметка, а не со уредот, неточната информација го следи корисникот насекаде каде што ја користи истата Gemini сметка.
• Упорност преку закажани активности, како што е повторлива задача секој ден во 20:00 часот да ги чита најновите пораки на жртвата.

SafeBreach ги пријавил наодите до Google Vulnerability Reward Program на 17 август 2025 година. Google го третирал случајот како висок приоритет и на 14 ноември 2025 година потврдил дека подобрувањата во класификаторите за содржина ги ублажуваат нападите преку известувања и техниката за заобиколување наречена Delayed Tool Invocation.

Бидејќи поправката е имплементирана на серверската страна, корисниците немаат потреба да инсталираат ажурирање на апликацијата. Единствената контрола што им стои на располагање е дали Gemini воопшто ќе има пристап до известувањата: да ја исклучат апликацијата Utilities во поставките Connected Apps на Gemini или да ја оневозможат Android-дозволата „Notification read, reply & control“ за Google апликацијата.

Извори:

• The Hacker News – WhatsApp, Slack Notifications Could Hijack Google Gemini on Android The Hacker News