Prompt-Injection in Google Gemini über WhatsApp & Co. auf Android

Der Forscher Or Yair vom Unternehmen SafeBreach hat eine Technik der indirekten Prompt-Injection in den Sprachassistenten Google Gemini auf Android demonstriert, bei der bereits eine einzige bösartige Benachrichtigung aus WhatsApp, Slack, Signal, Instagram oder einem anderen Messenger ausreichte, um die Antworten des Assistenten zu manipulieren, Smart-Home-Geräte zu steuern, Zoom-Anrufe zu initiieren und den Langzeitspeicher des Modells zu vergiften. Die Installation einer schädlichen App auf dem Gerät des Opfers war nicht erforderlich – es genügte, dass Gemini den Text der eingehenden Benachrichtigung als Kontext für die Ausführung von Anweisungen verarbeitete. Google stufte das Problem als hochprioritär ein und bestätigte, dass es im November 2025 durch serverseitige Korrekturen behoben wurde. Hinweise auf eine Ausnutzung in realen Angriffen gibt es nicht.

Angriffsvektor und betroffene Produkte

Die verwundbare Funktionalität hängt mit der Komponente Utilities in Gemini auf Android zusammen, die es dem Assistenten ermöglicht, Benachrichtigungen aus Drittanbieter-Apps zu lesen und zu beantworten. Diese Funktion ist auf iOS und in der Webversion nicht verfügbar, was den Angriffsvektor ausschließlich Android-spezifisch macht. Nach Angaben des Forschers interpretierte der Agent, der die Benachrichtigungen verarbeitete, deren Textinhalt als ausführbare Anweisungen, was nach Yairs Worten eine „faktisch unendliche“ Angriffsoberfläche schuf: Jede Quelle, die eine Benachrichtigung an das Telefon senden kann, konnte eine bösartige Nutzlast zustellen.

Betroffene Produkte:

• Google Gemini auf Android (Sprachassistent)
• Funktion Gemini Utilities (Lesen von Benachrichtigungen)
• Google-App auf Android (Berechtigung zum Lesen und Steuern von Benachrichtigungen)

Für dieses Problem wurde keine CVE vergeben. Ausnutzungsstatus – es ist ein öffentlicher PoC (proof of concept) verfügbar, bestätigte Ausnutzung unter realen Bedingungen wurde nicht festgestellt.

Umgehung der Schutzmechanismen: Technik Fake Context Alignment

Yairs Arbeit knüpft an eine frühere SafeBreach-Studie mit dem Titel „Invitation Is All You Need“ an, in der ähnliche Angriffe über bösartige Google-Calendar-Einladungen durchgeführt wurden. Nach dieser Veröffentlichung verstärkte Google den Schutz von Gemini vor indirekten Prompt-Injection-Angriffen. Wie der Forscher berichtet, stellte er anhand von Black-Box-Tests fest, dass das System bei der Autorisierung sensibler Aktionen (etwa dem Öffnen eines Smart-Home-Fensters) die Antwort des Nutzers „Ja“ mit der letzten Ausgabe von Gemini abglich und den logischen Zusammenhang prüfte. Eine direkte Injection einer verzögert auszuführenden Anweisung wurde jedes Mal blockiert.

Zur Umgehung dieses Schutzes entwickelte Yair eine Technik namens Fake Context Alignment, die gleichzeitig zwei Illusionen schafft – eine für das Sicherheitssystem und eine für den Nutzer:

• Sprachbasierte Obfuskation. Gemini stellt die eigentliche Autorisierungsfrage in einer Sprache, die das Opfer nicht versteht (zum Beispiel auf Chinesisch: „Möchten Sie das Fenster öffnen?“) und sagt anschließend auf Englisch etwas Harmloses wie „Is that all you need?“. Der Nutzer nimmt die fremdsprachige Phrase als Fehler wahr, antwortet mit „Ja“, und das System ordnet diese Zustimmung der verborgenen Frage zu.
• Unterdrückung der Sprachausgabe. Die Text-to-Speech-Engine von Gemini überspringt Hyperlinks, die hinter klickbarem Text verborgen sind. Die bösartige Autorisierungsfrage wird in einen Link eingebettet, den der Assistent nicht laut vorliest. Auf dem Bildschirm erscheint „Möchten Sie das Fenster öffnen?“, während Gemini per Sprachausgabe sagt: „Entschuldigung, es ist ein Fehler aufgetreten, sind Sie noch da?“. Ein Nutzer am Steuer, der nicht auf den Bildschirm schaut, sagt „Ja“ – und die Sicherheitsprüfung wertet die Aktion als autorisiert.

Die Kombination beider Methoden – eine Autorisierungsfrage in einer Fremdsprache, verborgen in einem nicht ausgesprochenen Link – ermöglichte es nach Angaben des Forschers, die neuesten Prüfmechanismen von Google zu umgehen und für den Nutzer dennoch den Eindruck eines normalen englischsprachigen Dialogs aufrechtzuerhalten.

Demonstrierte Auswirkungen

Laut SafeBreach demonstrierte der Forscher nach dem Überwinden der Autorisierungsbarriere die folgenden Wirkungsszenarien:

• Steuerung des Smart Home über Google Home – Öffnen angebundener Fenster, Steuerung von Boilern und Beleuchtung.
• Geolokalisierung und Dateidownloads – Aufruf von URLs zur Bestimmung des Standorts des Opfers anhand der IP-Adresse oder zur Initiierung von Datei-Downloads.
• Wechsel in andere Anwendungen. In der Demonstration wurde eine eigentlich sichere Domain auf einen Link der Zoom-App umgeleitet, und Gemini folgte diesem Redirect den Angaben zufolge ohne zusätzliche Rückfrage, sodass das Telefon zwangsweise an einer Videokonferenz teilnahm. SafeBreach betont, dass ihre eigene Domain nicht auf Zoom weiterleitete – der Redirect erfolgte auf einem lokalen Server des Testgeräts.
• Memory Poisoning. Anders als in der früheren Kalender-Studie erlaubte Fake Context Alignment, eine Zustimmung des Nutzers zur Datenspeicherung zu simulieren. Gemini speicherte den vom Angreifer vorgegebenen „Fakt“ (in der Demonstration – den Namen des Opfers als „Danny“). Da der Speicher von Gemini Berichten zufolge an das Konto gebunden ist, folgen die vergifteten Daten dem Opfer auf alle Geräte, auf denen dasselbe Google-Konto verwendet wird.
• Persistenz über geplante Aktionen – etwa eine tägliche Aufgabe zum Lesen der letzten Nachrichten des Opfers um 20:00 Uhr.

Bewertung der Auswirkungen

Am stärksten gefährdet sind Android-Nutzer, die in Gemini die Funktion zum Lesen von Benachrichtigungen aktiviert haben, insbesondere in Hands-free-Szenarien (Fahren, körperliche Aktivität), in denen der Nutzer den Bildschirm nicht sieht und sich ausschließlich auf die Sprachausgabe verlässt. Die Manipulation von Nachrichten, die vermeintlich von Kontakten des Opfers stammen – etwa eine fingierte Bitte des Vorgesetzten, Dokumente in einen angegebenen Ordner hochzuladen –, stellt eine direkte Bedrohung für die Unternehmenssicherheit und durch Social Engineering dar. Memory Poisoning auf Kontoebene kann die Auswirkungen potenziell über ein einzelnes Gerät hinaus ausweiten.

Empfehlungen

Der Fix wurde serverseitig implementiert – ein App-Update ist nicht erforderlich. Nach Angaben von SafeBreach bestätigte Google am 14. November 2025, dass Verbesserungen des Inhaltsklassifikators sowohl die Injections über Benachrichtigungen als auch die Umgehung verzögerter Tool-Aufrufe beseitigt haben. Dennoch wird zur Reduzierung verbleibender Risiken empfohlen:

• Die Utilities-App in den Einstellungen Gemini → Connected Apps zu deaktivieren, wenn die Vorlesefunktion für Benachrichtigungen durch den Assistenten nicht notwendig ist.
• Der Google-App in den Android-Einstellungen die Berechtigung „Notification read, reply & control“ zu entziehen.
• Jegliche Sprachausgaben von Gemini, die Bitten im Namen von Kontakten enthalten, insbesondere solche, die mit der Übertragung von Daten oder dem Aufruf von Links verbunden sind, kritisch zu hinterfragen.
• Gespeicherte Fakten im Speicher von Gemini regelmäßig auf Einträge zu überprüfen, die der Nutzer nicht selbst erstellt hat.

Diese Untersuchung zeigt ein systemisches Problem: Mit der Erweiterung des Kontextfensters von KI-Assistenten durch die Integration von Benachrichtigungen, Kalendern und Smart-Home-Funktionen wird jede neue Datenquelle zu einem potenziellen Injection-Vektor. Nutzern, die keine Sprachsteuerung für Benachrichtigungen über Gemini benötigen, ist zu empfehlen, diese Funktion zu deaktivieren – dies ist die einzige Maßnahme, die vollständig unter der Kontrolle des Nutzers steht.