Foto: Wikimedia Commons / DHSgov, Public domain
Istraživanje tvrtke SafeBreach pokazalo je da bi jedna zlonamjerno oblikovana obavijest iz WhatsAppa, Slacka, SMS-a, Signala, Instagrama ili Messengera mogla preusmjeriti glasovnog asistenta Google Gemini na Androidu. Prema opisu nalaza, asistent je mogao takvu obavijest shvatiti kao koristan kontekst i zatim otvoriti povezane prozore, izgovoriti lažnu poruku kao da dolazi od nadređenog, pokrenuti poziv na Zoomu ili tiho onečistiti dugoročnu memoriju.
Za ovaj napad nije bila potrebna zlonamjerna aplikacija na telefonu. Dovoljno je bilo da Gemini u sklopu svoje Utilities funkcije čita i obrađuje obavijesti, uključujući one iz aplikacija poput WhatsAppa. Istraživač SafeBreacha Or Yair navodi da je agent koji čita obavijesti njihov tekst tretirao kao upute koje može izvršiti, zbog čega je svaka aplikacija koja može poslati obavijest na telefon postala potencijalni ulazni kanal za napad. Yair je taj napadni prostor opisao kao “efektivno beskonačan”.
Nalaz dolazi nakon ranijeg rada tima SafeBreach pod nazivom “Invitation Is All You Need”, u kojem su slični trikovi izvedeni putem zlonamjernih Google Calendar pozivnica. Nakon toga je Google pojačao zaštitu Geminija od neizravnog prompt injectiona, no Yair je pronašao način da zaobiđe nove obrane. Prema istraživanju, Google je taj problem naknadno zakrpao, SafeBreach nije naveo CVE za taj slučaj, a nema ni dokaza da je tehnika korištena u stvarnom okruženju.
Jedan od učinaka bio je i krivotvorenje izlaza, uključujući lažnu poruku od imenovanog kontakta. U scenariju u kojem korisnik ne gleda u zaslon, poruka poput “tvoj voditelj je tražio da preneseš dokumente u ovu Drive mapu” mogla bi zvučati uvjerljivo. Opisan je i tzv. slijepi način, u kojem se payload aktivira nakon što Gemini učita stvarne obavijesti, pa može uzeti prvo stvarno ime pošiljatelja iz reda i pripisati mu lažnu poruku.
Teži dio napada odnosio se na izvođenje stvarnih radnji, poput otvaranja prozora ili pokretanja aplikacije. Yair je, na temelju black-box testiranja, zaključio da kad “Yes” autorizira osjetljivu radnju, sigurnosna provjera uspoređuje i korisnikov odgovor i posljednji izlaz Geminija kako bi procijenila ima li to odobrenje smisla. Kada bi se iznenada ubacila odgođena uputa, Gemini je, prema njegovim nalazima, odbijao takvu radnju svaki put. Zaobilaženje koje je nazvao Fake Context Alignment oslanjalo se na dvije istodobne iluzije: za sigurnosnu provjeru izgledalo je kao legitimno odobrenje, a za čovjeka kao bezazlena razmjena.
Kombinacijom tih elemenata mogao se dobiti payload koji izgleda kao normalna engleska razmjena, iako prolazi kroz Googleove novije provjere. SafeBreach je nalaze prijavio Googleovu programu Vulnerability Reward Program 17. kolovoza 2025., a Google je 14. studenoga 2025. potvrdio da su poboljšanja klasifikatora sadržaja ublažila injekcije kroz obavijesti i zaobilaženje koje je dolazilo kroz Delayed Tool Invocation. Budući da je zakrpa implementirana na strani poslužitelja, nema aplikacijskog ažuriranja koje korisnici trebaju tražiti. Kao jedina kontrola navodi se mogućnost da Gemini uopće ne čita obavijesti: isključenjem aplikacije Utilities u postavkama Gemini Connected Apps ili gašenjem dopuštenja Google aplikacije “Notification read, reply & control” na Androidu.
Vezane vijesti
