Як одне сповіщення компрометувало голосовий асистент Google Gemini

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідник компанії SafeBreach Ор Яїр (Or Yair) продемонстрував техніку непрямої інʼєкції промптів (prompt injection) у голосовий асистент Google Gemini на Android, за якої єдине зловмисне сповіщення з WhatsApp, Slack, Signal, Instagram або іншого месенджера дозволяло підміняти відповіді асистента, керувати пристроями розумного дому, ініціювати дзвінки в Zoom та отруювати довготривалу памʼять моделі. Встановлення зловмисного застосунку на пристрій жертви не було потрібне — достатньо було того, що Gemini обробляв текст вхідного сповіщення як контекст для виконання інструкцій. Google надав проблемі високий пріоритет і підтвердив її усунення серверними виправленнями в листопаді 2025 року. Доказів експлуатації в реальних атаках немає.

Вектор атаки та уражені продукти

Уразлива функціональність повʼязана з компонентом Utilities у Gemini на Android, який дає змогу асистенту читати та відповідати на сповіщення зі сторонніх застосунків. Ця функція недоступна на iOS і у веб-версії, що робить вектор атаки виключно специфічним для Android. За даними дослідника, агент, який обробляв сповіщення, інтерпретував їх текстовий вміст як виконувані інструкції, що створювало, за висловом Яїра, «фактично нескінченну» поверхню атаки: будь-яке джерело, здатне надіслати сповіщення на телефон, могло доставити зловмисне навантаження.

Уражені продукти:

  • Google Gemini на Android (голосовий асистент)
  • Функція Gemini Utilities (читання сповіщень)
  • Застосунок Google на Android (дозвіл на читання та керування сповіщеннями)

Для цієї проблеми CVE-ідентифікатор не призначено. Статус експлуатації — доступний публічний PoC (proof of concept), підтверджених випадків використання в реальних умовах не зафіксовано.

Обхід захисних механізмів: техніка Fake Context Alignment

Робота Яїра продовжує більш раннє дослідження SafeBreach під назвою «Invitation Is All You Need», у якому аналогічні атаки здійснювалися через зловмисні запрошення Google Calendar. Після тієї публікації Google посилив захист Gemini від непрямих інʼєкцій промптів. Як повідомляє дослідник, на основі тестування методом «чорної скриньки» він зʼясував, що під час авторизації чутливих дій (наприклад, відкриття вікна розумного дому) система співвідносила відповідь користувача «Так» з останнім виводом Gemini, перевіряючи логічний звʼязок. Пряму інʼєкцію відкладеної інструкції блокували щоразу.

Для обходу цього захисту Яїр розробив техніку, названу Fake Context Alignment, яка одночасно створює дві ілюзії — одну для системи безпеки, іншу для користувача:

  • Обфускація мовою. Gemini ставить реальне запитання для авторизації мовою, якої жертва не розуміє (наприклад, китайською: «Ви хочете відкрити вікно?»), а потім англійською промовляє щось безпечне на кшталт «Is that all you need?». Користувач сприймає фразу незнайомою мовою як збій, відповідає «Так», і система привʼязує цю згоду до прихованого запитання.
  • Придушення озвучення. Двигун перетворення тексту на мовлення Gemini пропускає гіперпосилання, приховані за клікабельним текстом. Зловмисне запитання авторизації вбудовується в посилання, яке асистент не промовляє вголос. На екрані відображається «Ви хочете відкрити вікно?», а голосом Gemini промовляє: «Вибачте, сталася помилка, ви тут?». Користувач за кермом, не дивлячись на екран, каже «Так» — і перевірка безпеки вважає дію авторизованою.

Комбінація обох прийомів — запитання авторизації іноземною мовою, приховане всередині непроизносного посилання, — за даними дослідника, дозволяла обходити найновіші перевірки Google, зберігаючи для користувача видимість звичайного англомовного діалогу.

Демонстровані наслідки

За даними SafeBreach, після подолання барʼєра авторизації дослідник продемонстрував такі сценарії впливу:

  • Керування розумним домом через Google Home — відкриття підʼєднаних вікон, керування бойлерами та освітленням.
  • Геолокація та завантаження файлів — відкриття URL для визначення місцезнаходження жертви за IP-адресою або ініціювання завантаження файлів.
  • Перехід в інші застосунки. У демонстрації безпечний домен перенаправлявся на посилання застосунку Zoom, і Gemini, за повідомленням, слідував редиректу без додаткового запиту, змушуючи телефон приєднатися до відеоконференції. SafeBreach наголошує, що їхній власний домен не перенаправляв на Zoom — редирект виконувався на локальному сервері тестового пристрою.
  • Отруєння памʼяті. На відміну від попереднього дослідження з календарем, Fake Context Alignment дозволив зімітувати згоду користувача на збереження даних. Gemini зберіг навʼязаний зловмисником факт (у демонстрації — імʼя жертви як «Danny»). Оскільки памʼять Gemini, за повідомленнями, привʼязана до облікового запису, отруєні дані «слідують» за жертвою на всі пристрої, де використовується той самий обліковий запис Google.
  • Персистентність через заплановані дії — наприклад, щоденне завдання на читання останніх повідомлень жертви о 20:00.

Оцінка впливу

Найбільшому ризику піддаються користувачі Android, які активували функцію читання сповіщень у Gemini, особливо у сценаріях використання в режимі hands-free (кермування автомобілем, фізична активність), коли користувач не бачить екрана і покладається виключно на голосовий вивід. Підміна повідомлень від контактів жертви — наприклад, фіктивне прохання від керівника завантажити документи до вказаної теки — становить пряму загрозу для корпоративної безпеки та створює умови для соціальної інженерії. Отруєння памʼяті на рівні облікового запису потенційно розширює наслідки за межі одного пристрою.

Рекомендації

Виправлення реалізовано на серверному боці — оновлення застосунку не вимагається. За даними SafeBreach, 14 листопада 2025 року Google підтвердив, що поліпшення класифікатора контенту усунули як інʼєкції через сповіщення, так і обхід відкладеного виклику інструментів. Втім, для зменшення залишкових ризиків рекомендується:

  • Вимкнути застосунок Utilities у налаштуваннях Gemini → Connected Apps, якщо функція читання сповіщень асистентом для вас не є необхідною.
  • Відкликати дозвіл «Notification read, reply & control» у застосунку Google в налаштуваннях Android.
  • Критично оцінювати будь-які голосові повідомлення Gemini, що містять прохання від імені контактів, особливо повʼязані з передаванням даних або переходом за посиланнями.
  • Періодично перевіряти збережені факти в памʼяті Gemini на наявність записів, які користувач не створював.

Це дослідження демонструє системну проблему: у міру розширення контекстного вікна ІІ-асистентів завдяки інтеграції зі сповіщеннями, календарями та розумним домом кожне нове джерело даних перетворюється на потенційний вектор інʼєкції. Користувачам, які не потребують голосового керування сповіщеннями через Gemini, доцільно вимкнути цю функцію — це єдиний захід, який повністю контролюється з боку користувача.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання