Una sola notificación envenenada de WhatsApp, Slack, SMS, Signal, Instagram o Messenger puede secuestrar el asistente de voz de Google Gemini en Android y abrir las ventanas conectadas de una víctima, falsificar un mensaje de su jefe, insertar su teléfono en una llamada de Zoom y envenenar silenciosamente su memoria a largo plazo.
No es necesario instalar ninguna aplicación maliciosa en su teléfono. El asistente sólo necesitaba tratar las notificaciones hostiles como contexto útil.
La investigación, publicada por Or Yair de SafeBreach, sigue el estudio anterior del equipo «Solo por invitación», que realizó un truco similar a través de invitaciones maliciosas de Google Calendar. Más tarde, Google endureció a Gemini contra la inyección indirecta.
Yair ha encontrado una manera de sortear las nuevas defensas. Aunque desde entonces Google ha aplicado un parche, SafeBreach no incluye ningún CVE para este problema, ni hay evidencia de que esta técnica se haya utilizado en la naturaleza.
En Android, puedes utilizar las funciones de utilidad de Gemini para leer y responder notificaciones, incluidas las de aplicaciones como WhatsApp. Este vector está limitado únicamente a Android, ya que no está disponible en iOS ni en la web. Yair descubrió que los agentes que leen estas notificaciones tratan el texto como instrucciones prácticas. Entonces, cualquier cosa que pueda enviar una notificación a un teléfono tiene el potencial de entregar una carga útil, una superficie de ataque que Yair llama «prácticamente ilimitada».
Esto permite a un atacante al menos reescribir lo que dice Gemini, como falsificar mensajes de contactos específicos. Es difícil adivinar las palabras «Mi jefe me ha pedido que cargue un documento en esta carpeta de Drive» cuando se dicen en voz alta mientras se conduce sin mirar la pantalla. La versión ciega es aún peor, ya que la carga útil se activa después de que Gemini carga la notificación real, lo que le permite tomar el primer nombre real del remitente en la cola y pegar el mensaje falso allí.
Fingir el resultado es una cosa. El lanzamiento de herramientas reales, como abrir una ventana o iniciar una aplicación, es para lo que se crearon las mitigaciones posteriores a la invitación de Google. La interpretación de Yair de la prueba de la caja negra es que si un «sí» permite una acción sensible, la verificación pesa tanto la respuesta del usuario como el resultado final de Gemini para determinar si ese «sí» tiene sentido. Se inyectarían instrucciones tardías de la nada, pero Géminis se negó siempre.
Esta derivación, que Yair llama Alineación de Contexto Falsa, realiza simultáneamente dos ilusiones: una autorización aparentemente legítima para un control de seguridad y un intercambio benigno para los humanos.
Ofuscado. Gemini hace la pregunta de autenticación en un idioma que la víctima no habla, como el chino («¿Quieres abrir la ventana?»), seguida de algo inofensivo en inglés como «¿Eso es todo lo que necesitas?». El usuario ignora la frase extranjera como un error y responde «sí», y el servidor conecta ese «sí» con la pregunta china. silenciar. La conversión de texto a voz de Gemini omitirá los hipervínculos ocultos detrás del texto en el que se puede hacer clic. Como resultado, las preguntas maliciosas quedan ocultas en los enlaces y el Asistente nunca las lee en voz alta. Gemini dijo: «Lo siento, hubo un error. ¿Estás ahí?» La pantalla mostrará silenciosamente el mensaje «¿Quieres abrir la ventana?» El conductor dice que sí, el cheque confirma el texto en la pantalla y se abre una ventana.
La combinación de los dos (un mensaje de autenticación chino oculto dentro de un enlace silenciado) da como resultado una carga útil que suena como una conversación normal en inglés y pasa las últimas comprobaciones de Google.
Una vez atravesado el umbral de autorización, los efectos fueron consistentes con investigaciones anteriores, con resultados adicionales:
Control inteligente del hogar con Google Home: ventanas, caldera e iluminación conectadas. Seguimiento y descarga. Abra una URL para localizar a la víctima por IP o envíe la descarga de un archivo. Intersección con otras aplicaciones. En la demostración, Yair configuró un dominio aparentemente seguro para redirigir a un enlace en la aplicación Zoom, y Gemini lo siguió sin avisar, lo que obligó al teléfono a unirse a la reunión y transmitir el video. Explicó que funcionó porque Gemini proporcionó contenido limpio, luego confió en el dominio y siguió la redirección posterior. SafeBreach enfatiza que su propio dominio no será redirigido a Zoom. La redirección se realizó en el servidor local del dispositivo de prueba. Adicción a la memoria. La tecnología del calendario temprano no pudo hacer frente. Debido a que Fake Context Alignment simula el consentimiento, Gemini almacenó persistentemente el hecho de la elección del atacante. En nuestra demostración, guardamos el nombre de la víctima como «Danny». Dado que la memoria está en el nivel de la cuenta, el hecho de que haya sido envenenada no permanecerá en el teléfono. Realiza un seguimiento de las víctimas dondequiera que utilicen Gemini con sus cuentas. Persistencia a través de acciones programadas, como una tarea recurrente para leer los mensajes recientes de la víctima todos los días a las 8 p.m.
SafeBreach informó este hallazgo al Programa de recompensas por vulnerabilidad de Google el 17 de agosto de 2025. Google trató esto como una prioridad máxima y el 14 de noviembre de 2025 confirmamos que las mejoras en nuestro clasificador de contenido redujeron la inyección de notificaciones y la omisión de llamadas de herramientas retrasadas.
No es necesario realizar un seguimiento de las actualizaciones de la aplicación, ya que las correcciones se realizan en el lado del servidor. El único control que tienes es si Gemini lee tus notificaciones. Desconecte la aplicación de utilidad en la configuración de Aplicaciones conectadas de Gemini o desactive el permiso «Leer, responder y controlar notificaciones» para la aplicación de Google en Android.
Source link
