Исследователь компании SafeBreach Ор Яир (Or Yair) продемонстрировал технику непрямой инъекции промптов в голосовой ассистент Google Gemini на Android, при которой единственное вредоносное уведомление из WhatsApp, Slack, Signal, Instagram или другого мессенджера позволяло подменять ответы ассистента, управлять устройствами умного дома, инициировать звонки в Zoom и отравлять долговременную память модели. Установка вредоносного приложения на устройство жертвы не требовалась — достаточно было того, что Gemini обрабатывал текст входящего уведомления как контекст для выполнения инструкций. Google присвоил проблеме высокий приоритет и подтвердил её устранение серверными исправлениями в ноябре 2025 года. Свидетельств эксплуатации в реальных атаках нет.
Вектор атаки и затронутые продукты
Уязвимая функциональность связана с компонентом Utilities в Gemini на Android, который позволяет ассистенту читать и отвечать на уведомления из сторонних приложений. Эта функция недоступна на iOS и в веб-версии, что делает вектор атаки исключительно Android-специфичным. По данным исследователя, агент, обрабатывающий уведомления, интерпретировал их текстовое содержимое как исполняемые инструкции, что создавало, по выражению Яира, «фактически бесконечную» поверхность атаки: любой источник, способный отправить уведомление на телефон, мог доставить вредоносную нагрузку.
Затронутые продукты:
- Google Gemini на Android (голосовой ассистент)
- Функция Gemini Utilities (чтение уведомлений)
- Приложение Google на Android (разрешение на чтение и управление уведомлениями)
CVE для данной проблемы не присвоен. Статус эксплуатации — доступен публичный PoC (proof of concept), подтверждённой эксплуатации в реальных условиях не зафиксировано.
Обход защитных механизмов: техника Fake Context Alignment
Работа Яира продолжает более раннее исследование SafeBreach под названием «Invitation Is All You Need», в котором аналогичные атаки проводились через вредоносные приглашения Google Calendar. После той публикации Google усилил защиту Gemini от непрямых инъекций промптов. Как сообщает исследователь, на основе тестирования методом чёрного ящика он установил, что при авторизации чувствительных действий (например, открытие окна умного дома) система сопоставляла ответ пользователя «Да» с последним выводом Gemini, проверяя логическую связь. Прямая инъекция отложенной инструкции блокировалась каждый раз.
Для обхода этой защиты Яир разработал технику, названную Fake Context Alignment, которая одновременно создаёт две иллюзии — одну для системы безопасности, другую для пользователя:
- Обфускация языком. Gemini задаёт реальный вопрос авторизации на языке, которого жертва не понимает (например, на китайском: «Вы хотите открыть окно?»), а затем на английском произносит нечто безобидное вроде «Это всё, что вам нужно?». Пользователь воспринимает фразу на незнакомом языке как сбой, отвечает «Да», и система привязывает это согласие к скрытому вопросу.
- Подавление озвучивания. Движок преобразования текста в речь Gemini пропускает гиперссылки, скрытые за кликабельным текстом. Вредоносный вопрос авторизации встраивается в ссылку, которую ассистент не произносит вслух. На экране отображается «Вы хотите открыть окно?», а голосом Gemini произносит: «Извините, произошла ошибка, вы здесь?». Пользователь за рулём, не глядя на экран, говорит «Да» — и проверка безопасности считает действие авторизованным.
Комбинация обоих приёмов — вопрос авторизации на иностранном языке, скрытый внутри непроизносимой ссылки — по данным исследователя, позволяла пройти новейшие проверки Google, сохраняя для пользователя видимость обычного англоязычного диалога.
Продемонстрированные последствия
По данным SafeBreach, после преодоления барьера авторизации исследователь продемонстрировал следующие сценарии воздействия:
- Управление умным домом через Google Home — открытие подключённых окон, управление бойлерами и освещением.
- Геолокация и загрузка файлов — открытие URL для определения местоположения жертвы по IP-адресу или инициирование загрузки файлов.
- Переход в другие приложения. В демонстрации безопасный домен перенаправлялся на ссылку приложения Zoom, и Gemini, как сообщается, следовал редиректу без дополнительного запроса, принуждая телефон присоединиться к видеоконференции. SafeBreach подчёркивает, что их собственный домен не перенаправлял на Zoom — редирект выполнялся на локальном сервере тестового устройства.
- Отравление памяти. В отличие от предыдущего исследования с календарём, Fake Context Alignment позволил симулировать согласие пользователя на сохранение данных. Gemini сохранил навязанный атакующим факт (в демонстрации — имя жертвы как «Danny»). Поскольку память Gemini, как сообщается, привязана к аккаунту, отравленные данные следуют за жертвой на все устройства, где используется тот же аккаунт Google.
- Персистентность через запланированные действия — например, ежедневная задача на чтение последних сообщений жертвы в 20:00.
Оценка воздействия
Наибольшему риску подвержены пользователи Android, активировавшие функцию чтения уведомлений в Gemini, особенно в сценариях hands-free использования (вождение, физическая активность), когда пользователь не видит экран и полагается исключительно на голосовой вывод. Подмена сообщений от контактов жертвы — например, фиктивная просьба от руководителя загрузить документы в указанную папку — представляет прямую угрозу для корпоративной безопасности и социальной инженерии. Отравление памяти на уровне аккаунта потенциально расширяет последствия за пределы одного устройства.
Рекомендации
Исправление реализовано на стороне сервера — обновление приложения не требуется. По данным SafeBreach, Google подтвердил 14 ноября 2025 года, что улучшения классификатора контента устранили как инъекции через уведомления, так и обход отложенного вызова инструментов. Тем не менее, для снижения остаточных рисков рекомендуется:
- Отключить приложение Utilities в настройках Gemini → Connected Apps, если функция чтения уведомлений ассистентом не является необходимой.
- Отозвать разрешение «Notification read, reply & control» у приложения Google в настройках Android.
- Критически оценивать любые голосовые сообщения Gemini, содержащие просьбы от имени контактов, особенно связанные с передачей данных или переходом по ссылкам.
- Периодически проверять сохранённые факты в памяти Gemini на предмет записей, которые пользователь не создавал.
Данное исследование демонстрирует системную проблему: по мере расширения контекстного окна ИИ-ассистентов за счёт интеграции с уведомлениями, календарями и умным домом, каждый новый источник данных становится потенциальным вектором инъекции. Пользователям, которые не нуждаются в голосовом управлении уведомлениями через Gemini, целесообразно отключить эту функцию — это единственная мера, полностью контролируемая на стороне пользователя.
