Uma única notificação envenenada de WhatsApp, Slack, SMS, Signal, Instagram ou Messenger poderia sequestrar o assistente de voz Google Gemini no Android e fazer com que ele abrisse janelas conectadas da vítima, falsificasse uma mensagem do chefe, colocasse o telefone em uma chamada de Zoom ou contaminasse silenciosamente sua memória de longo prazo.
Nenhum aplicativo malicioso no telefone é necessário. O assistente bastava tratar uma notificação hostil como contexto útil.
A pesquisa, publicada por Or Yair, da SafeBreach, dá continuidade ao trabalho anterior da equipe, intitulado "Invitation Is All You Need", que realizou truques semelhantes por meio de convites maliciosos do Google Calendar. Depois disso, o Google reforçou o Gemini contra injeção indireta de prompts (instruções ocultas em dados processados pela IA).
Yair encontrou uma forma de contornar as novas defesas. O Google já corrigiu a falha, a SafeBreach não lista nenhum CVE (Código Comum de Vulnerabilidades e Exposições) para o problema, e não há evidências de que a técnica tenha sido usada em ataques reais.
No Android, o recurso Utilitários do Gemini pode ler e responder às suas notificações, inclusive de aplicativos como WhatsApp. Não está disponível no iOS nem na web, o que mantém esse vetor restrito ao Android. Yair descobriu que o agente que lê essas notificações trata o texto delas como instruções que pode executar. Assim, qualquer coisa que consiga enviar uma notificação para um telefone pode entregar uma carga maliciosa, uma superfície de ataque que Yair classificou como "efetivamente infinita".
No mínimo, isso permite que um invasor reescreva o que o Gemini diz, inclusive falsificando uma mensagem de um contato identificado. Falado em voz alta enquanto você dirige e não olha para a tela, "seu gerente pediu para você enviar os documentos para esta pasta do Drive" é difícil de questionar. A versão "cega" é ainda pior: a carga maliciosa é disparada depois que o Gemini carrega notificações reais, então consegue pegar o primeiro nome real de remetente na fila e atribuir a mensagem falsa a essa pessoa.
Falsificar a saída é uma coisa. Acionar ferramentas reais, como abrir uma janela ou iniciar um aplicativo, é o que as mitigações do Google pós-"Invitation" foram construídas para impedir. A leitura de Yair, a partir de testes de caixa-preta (sem acesso ao código-fonte): quando um "Sim" autoriza uma ação sensível, uma verificação pondera tanto a resposta do usuário quanto a última saída do Gemini para decidir se aquele "Sim" faz sentido. Injetar uma instrução atrasada do nada fez o Gemini recusar, todas as vezes.
Então o contorno, que Yair chamou de Alinhamento de Contexto Falso (Fake Context Alignment), executa duas ilusões ao mesmo tempo: uma autorização com aparência legítima para a verificação de segurança e uma troca inofensiva para o ser humano.
- Ofuscado. O Gemini faz a pergunta real de autorização em um idioma que a vítima não fala, digamos em chinês ("Você quer abrir a janela?"), e continua em inglês com algo inócuo, como "Era só isso que você precisava?". O usuário descarta a frase em idioma estrangeiro como uma falha, diz "Sim", e o sistema associa aquele "Sim" à pergunta em chinês.
- Silenciado. A conversão de texto em fala (TTS) do Gemini ignora hiperlinks ocultos atrás de texto clicável. Assim, a pergunta maliciosa fica escondida em um link que o assistente nunca lê em voz alta. O Gemini diz: "Desculpe, tive um erro, você está aí?" enquanto a tela mostra silenciosamente "Você quer abrir a janela?". O motorista diz "Sim", a verificação enxerga o texto na tela, e as janelas se abrem.
Combine os dois, um prompt de autorização em chinês escondido dentro de um link silenciado, e você obtém uma carga maliciosa que soa como uma troca normal em inglês enquanto passa pelas verificações mais recentes do Google.
Ultrapassada a barreira de autorização, os impactos se igualaram à pesquisa anterior e foram ainda mais longe:
- Controle de casa inteligente via Google Home: janelas, boilers e luzes conectadas.
- Rastreamento e downloads. Abrir URLs (endereços da web) para geolocalizar uma vítima pelo IP (Protocolo de Internet) ou disparar downloads de arquivos.
- Invasão de outros aplicativos. Na demonstração, Yair configurou um domínio de aparência confiável para redirecionar a um link do aplicativo Zoom, e o Gemini seguiu o redirecionamento sem pedir confirmação, forçando o telefone a entrar em uma reunião e transmitir vídeo. Segundo ele, funcionou porque o Gemini confiou no domínio depois que ele serviu conteúdo limpo e depois seguiu o redirecionamento. A SafeBreach destaca que seu próprio domínio nunca redirecionou para o Zoom; o redirecionamento ocorreu em um servidor local no dispositivo de teste.
- Envenenamento de memória, algo que a técnica anterior com calendário não conseguiu. O Alinhamento de Contexto Falso simula consentimento, e o Gemini persistiu um fato escolhido pelo invasor. Na demonstração, ele armazenou o nome da vítima como "Danny". Como essa memória está vinculada à conta, o fato envenenado não fica preso ao telefone: ele acompanha a vítima onde quer que ela use o Gemini naquela conta.
- Persistência por meio de ações agendadas, como uma tarefa recorrente para ler as mensagens recentes da vítima todos os dias às 20h.
A SafeBreach reportou as descobertas ao Programa de Recompensas por Vulnerabilidades do Google em 17 de agosto de 2025. O Google tratou o caso como alta prioridade e confirmou em 14 de novembro de 2025 que melhorias nos classificadores de conteúdo mitigaram as injeções via notificações e o contorno de Invocação Atrasada de Ferramentas.
Como a correção é no lado do servidor, não há atualização de aplicativo para buscar. O único controle que os usuários têm é se o Gemini lê notificações ou não: desconectar o aplicativo Utilitários nas configurações de Aplicativos Conectados do Gemini ou desativar a permissão "Leitura, resposta e controle de notificações" do aplicativo Google no Android.
