Cómo explotaron Google Gemini en Android vía notificaciones maliciosas

El investigador de SafeBreach Or Yair demostró una técnica de inyección indirecta de prompts en el asistente de voz Google Gemini en Android, mediante la cual una única notificación maliciosa de WhatsApp, Slack, Signal, Instagram u otro mensajero permitía sustituir las respuestas del asistente, controlar dispositivos del hogar inteligente, iniciar llamadas en Zoom y envenenar la memoria a largo plazo del modelo. No era necesaria la instalación de una aplicación maliciosa en el dispositivo de la víctima: bastaba con que Gemini procesara el texto de la notificación entrante como contexto para ejecutar instrucciones. Google asignó a este problema una prioridad alta y confirmó su mitigación mediante correcciones del lado del servidor en noviembre de 2025. No hay indicios de explotación en ataques reales.

Vector de ataque y productos afectados

La funcionalidad vulnerable está relacionada con el componente Utilities en Gemini para Android, que permite al asistente leer y responder notificaciones de aplicaciones de terceros. Esta función no está disponible en iOS ni en la versión web, lo que hace que el vector de ataque sea específico de Android. Según el investigador, el agente que procesaba las notificaciones interpretaba su contenido textual como instrucciones ejecutables, lo que creaba, en palabras de Yair, una superficie de ataque «prácticamente infinita»: cualquier fuente capaz de enviar una notificación al teléfono podía entregar una carga maliciosa.

Productos afectados:

• Google Gemini en Android (asistente de voz)
• Función Gemini Utilities (lectura de notificaciones)
• Aplicación Google en Android (permiso para leer y gestionar notificaciones)

No se ha asignado un identificador CVE para este problema. Estado de explotación: existe un PoC público (proof of concept), no se ha registrado explotación confirmada en condiciones reales.

Elusión de mecanismos de protección: técnica Fake Context Alignment

El trabajo de Yair continúa una investigación previa de SafeBreach titulada «Invitation Is All You Need», en la que se realizaban ataques similares mediante invitaciones maliciosas de Google Calendar. Tras aquella publicación, Google reforzó la protección de Gemini frente a inyecciones indirectas de prompts. Según el investigador, a partir de pruebas de caja negra determinó que, al autorizar acciones sensibles (por ejemplo, abrir una ventana del hogar inteligente), el sistema asociaba la respuesta «Sí» del usuario con la última salida de Gemini, comprobando la relación lógica. La inyección directa de una instrucción diferida se bloqueaba en todos los casos.

Para sortear esta protección, Yair desarrolló la técnica denominada Fake Context Alignment, que crea simultáneamente dos ilusiones —una para el sistema de seguridad y otra para el usuario—:

• Ofuscación mediante el idioma. Gemini formula la pregunta real de autorización en un idioma que la víctima no entiende (por ejemplo, en chino: «¿Quiere abrir la ventana?») y, a continuación, en inglés dice algo inocuo como «Is that all you need?». El usuario interpreta la frase en un idioma desconocido como un fallo, responde «Sí» y el sistema vincula ese consentimiento a la pregunta oculta.
• Supresión de la locución. El motor de conversión de texto a voz de Gemini omite los hipervínculos ocultos tras texto clicable. La pregunta de autorización maliciosa se incrusta en un enlace que el asistente no pronuncia en voz alta. En pantalla se muestra «¿Quiere abrir la ventana?» y la voz de Gemini dice: «Lo siento, se ha producido un error, ¿sigue ahí?». El usuario, al volante y sin mirar la pantalla, responde «Sí», y la comprobación de seguridad considera la acción como autorizada.

Según el investigador, la combinación de ambas técnicas —pregunta de autorización en un idioma extranjero, oculta dentro de un enlace que no se vocaliza— permitía superar las comprobaciones más recientes de Google, manteniendo para el usuario la apariencia de un diálogo habitual en inglés.

Consecuencias demostradas

Según SafeBreach, tras superar la barrera de autorización el investigador demostró los siguientes escenarios de impacto:

• Control del hogar inteligente a través de Google Home: apertura de ventanas conectadas, control de calderas y de la iluminación.
• Geolocalización y descarga de archivos: apertura de URLs para determinar la ubicación de la víctima por dirección IP o iniciar la descarga de archivos.
• Transición a otras aplicaciones. En la demostración, un dominio seguro se redirigía a un enlace de la aplicación Zoom y, según se indica, Gemini seguía la redirección sin solicitud adicional, forzando al teléfono a unirse a una videoconferencia. SafeBreach subraya que su propio dominio no redirigía a Zoom: la redirección se realizaba en el servidor local del dispositivo de prueba.
• Envenenamiento de memoria. A diferencia de la investigación anterior con el calendario, Fake Context Alignment permitió simular el consentimiento del usuario para guardar datos. Gemini almacenó un hecho impuesto por el atacante (en la demostración, el nombre de la víctima como «Danny»). Dado que, según se indica, la memoria de Gemini está vinculada a la cuenta, los datos envenenados acompañan a la víctima en todos los dispositivos donde se usa la misma cuenta de Google.
• Persistencia mediante acciones programadas, por ejemplo, una tarea diaria para leer los últimos mensajes de la víctima a las 20:00.

Evaluación del impacto

Los usuarios de Android que han activado la función de lectura de notificaciones en Gemini son los que se encuentran en mayor riesgo, especialmente en escenarios de uso manos libres (conducción, actividad física), cuando el usuario no ve la pantalla y depende exclusivamente de la salida de voz. La manipulación de mensajes procedentes de los contactos de la víctima —por ejemplo, una falsa petición del superior para cargar documentos en una carpeta indicada— representa una amenaza directa para la seguridad corporativa y la ingeniería social. El envenenamiento de la memoria a nivel de cuenta amplía potencialmente las consecuencias más allá de un único dispositivo.

Recomendaciones

La corrección se ha implementado del lado del servidor; no se requiere actualizar la aplicación. Según SafeBreach, Google confirmó el 14 de noviembre de 2025 que las mejoras del clasificador de contenidos eliminaron tanto las inyecciones a través de notificaciones como el bypass de la invocación diferida de herramientas. No obstante, para reducir los riesgos residuales se recomienda:

• Desactivar la aplicación Utilities en los ajustes de Gemini → Connected Apps, si la función de lectura de notificaciones por parte del asistente no es necesaria.
• Revocar el permiso «Notification read, reply & control» de la aplicación Google en los ajustes de Android.
• Evaluar críticamente cualquier mensaje de voz de Gemini que contenga solicitudes en nombre de contactos, especialmente las relacionadas con la transferencia de datos o el acceso a enlaces.
• Revisar periódicamente los hechos guardados en la memoria de Gemini para detectar entradas que el usuario no haya creado.

Esta investigación pone de manifiesto un problema sistémico: a medida que la ventana de contexto de los asistentes de IA se amplía mediante la integración con notificaciones, calendarios y el hogar inteligente, cada nueva fuente de datos se convierte en un potencial vector de inyección. Para los usuarios que no necesitan el control por voz de las notificaciones a través de Gemini, resulta razonable desactivar esta función: es la única medida completamente controlable por el propio usuario.