Добавить в корзинуПозвонить
Найти в Дзене
Securitylab.ru
18,2 тыс подписчиков

Одного сообщения в WhatsApp хватит, чтобы взломать вас. И даже отвечать на него вам не нужно

54
1 мин
Всего одно вредоносное уведомление из WhatsApp, Slack, Signal, SMS, Instagram* или Messenger* могло заставить Gemini на Android выполнить чужую команду. Для атаки даже не требовалось устанавливать на смартфон вредоносное приложение: ассистент сам принимал текст уведомления за инструкцию. Проблему обнаружил специалист SafeBreach Ор Яир. Ранее команда уже показывала похожую атаку через приглашения в Google Календаре. Google усилила защиту Gemini от непрямого внедрения инструкций (Prompt Injection), однако Яир сумел обойти и новые ограничения. В итоге Яир сообщил о методе специалистам Google, и компания закрыла уязвимость. Признаков её применения в реальных атаках обнаружено не было. Риск возникал из-за агента Utilities, который позволяет Gemini читать уведомления и отвечать на них. Агент мог воспринять сообщение злоумышленника как команду и изменить ответ ассистента. Например, Gemini мог вслух озвучить фальшивую просьбу от имени руководителя или другого реального контакта. Разработанный

Всего одно вредоносное уведомление из WhatsApp, Slack, Signal, SMS, Instagram* или Messenger* могло заставить Gemini на Android выполнить чужую команду. Для атаки даже не требовалось устанавливать на смартфон вредоносное приложение: ассистент сам принимал текст уведомления за инструкцию.

Проблему обнаружил специалист SafeBreach Ор Яир. Ранее команда уже показывала похожую атаку через приглашения в Google Календаре. Google усилила защиту Gemini от непрямого внедрения инструкций (Prompt Injection), однако Яир сумел обойти и новые ограничения. В итоге Яир сообщил о методе специалистам Google, и компания закрыла уязвимость. Признаков её применения в реальных атаках обнаружено не было.

Риск возникал из-за агента Utilities, который позволяет Gemini читать уведомления и отвечать на них. Агент мог воспринять сообщение злоумышленника как команду и изменить ответ ассистента. Например, Gemini мог вслух озвучить фальшивую просьбу от имени руководителя или другого реального контакта.

Разработанный Яиром метод Fake Context Alignment помогал обходить защитные проверки перед опасными действиями. Пользователь слышал безобидный вопрос, но защитный механизм Gemini воспринимал ответ «да» как разрешение открыть окно, запустить приложение или выполнить другую команду. Для маскировки вопрос выводился на незнакомом пользователю языке либо скрывался внутри ссылки, которую синтез речи не озвучивал.

В ходе демонстраций Gemini управлял устройствами через Google Home, открывал ссылки, запускал приложения, подключал смартфон к Zoom-встрече и передавал видео. Атака также позволяла записывать ложные сведения в долговременную память Gemini и создавать задачи по расписанию, например ежедневное зачитывание определённых сообщений.

SafeBreach сообщила о проблеме Google 17 августа 2025 года. К 14 ноября компания улучшила классификатор контента и нейтрализовала выявленные способы обхода. Обновлять приложение не требуется. Для дополнительной защиты пользователи могут отключить Utilities в настройках Gemini или запретить приложению Google читать уведомления и управлять ими.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.