Gemini на Android можно было обмануть с помощью обычного уведомления

Исследователь SafeBreach Ор Яир нашел способ атаковать голосового помощника Google Gemini на Android. Для этого не потребовалось устанавливать вредоносное приложение или взламывать смартфон. Одного уведомления от WhatsApp, Slack, SMS, Signal, Instagram или Messenger было достаточно (WhatsApp, Instagram и Messenger принадлежат корпорации Meta, признанной экстремистской и запрещенной в России).

Суть проблемы в том, что Gemini может читать уведомления и отвечать на них через функцию «Утилиты».

Исследователь обнаружил, что помощник мог воспринимать текст уведомления не просто как контекст, а как инструкцию к действию. То есть любой сервис, способный отправить пуш на телефон, превратился в потенциальный канал атаки.

В самой мягкой версии злоумышленник может заставить Gemini озвучить фальшивое сообщение от имени реального контакта. Например, пока человек ведет машину и не смотрит в экран, помощник может сказать что-то вроде: «начальник просит загрузить документы в эту папку». Звучит как обычное сообщение, но на самом деле это ловушка.

Яир показал, как можно обойти проверки безопасности Gemini посредством подмены контекста. Помощник мог отобразить реальный запрос на опасное действие на одном языке или спрятать его в ссылке, а безобидную фразу произнести вслух. Пользователь говорит «да», думая, что он просто подтверждает нормальный диалог, и система засчитывает это как разрешение совершить действие.

В ходе демонстраций этот трюк позволял вам управлять устройствами умного дома через Google Home, открывать ссылки, запускать приложения, отправлять телефон на вызов Zoom и даже отравлять долговременную память Gemini. Например, помощник может запомнить ложный факт о пользователе, и эта информация будет храниться на уровне учетной записи.

Исследователь сообщил о проблеме в Google еще 17 августа 2025 года. Корпорация признала ее приоритетной и закрыла дыру. Пользователям не нужно устанавливать отдельное обновление приложения.