Uma única notificação maliciosa enviada pelo WhatsApp, Slack, SMS, Signal, Instagram ou Messenger poderia sequestrar o assistente de voz Gemini, do Google, no Android, e levá-lo a abrir janelas conectadas da vítima, forjar uma mensagem do chefe, colocá-la em uma chamada do Zoom ou envenenar silenciosamente sua memória de longo prazo.
Não é necessário instalar nenhum aplicativo malicioso no celular.
Bastava que o assistente tratasse uma notificação hostil como se fosse um contexto confiável.
A pesquisa, publicada por Or Yair, da SafeBreach, dá continuidade ao estudo anterior da equipe, “Invitation Is All You Need”, que já havia demonstrado truques semelhantes por meio de convites maliciosos do Google Calendar.
Depois disso, o Google endureceu as defesas do Gemini contra injeção indireta de prompts.
Yair encontrou uma forma de contornar essas novas proteções.
Desde então, o Google aplicou correções.
A SafeBreach não listou nenhum CVE para o caso, e não há evidências de que a técnica tenha sido usada em ataques reais.
No Android, o recurso Utilities do Gemini consegue ler e responder às suas notificações, inclusive as de aplicativos como o WhatsApp.
Esse recurso não existe no iOS nem na web, o que torna esse vetor exclusivo do Android.
Yair descobriu que o agente responsável por ler as notificações trata o texto como instruções que podem ser executadas.
Assim, qualquer coisa capaz de enviar uma notificação ao celular pode entregar um payload, uma superfície de ataque que ele descreveu como “praticamente infinita”.
No mínimo, isso permite que um invasor altere o que o Gemini diz, inclusive forjando uma mensagem atribuída a um contato específico.
Se a frase for dita em voz alta enquanto você dirige e não olha para a tela, algo como “seu gerente pediu para você enviar os documentos para esta pasta do Drive” pode passar despercebido.
A versão cega é ainda pior: o payload é acionado depois que o Gemini já carregou notificações reais, o que permite capturar o primeiro nome de remetente legítimo na fila e atribuir a ele a mensagem falsa.
Forjar a saída é uma coisa.
Acionar ferramentas reais, como abrir uma janela ou iniciar um aplicativo, é justamente o que as mitigações implementadas pelo Google após o caso “Invitation” buscavam impedir.
Pela análise de Yair, com testes de caixa-preta, quando um “Sim” autoriza uma ação sensível, uma verificação avalia tanto a resposta do usuário quanto a última saída do Gemini para decidir se esse “Sim” faz sentido.
Se uma instrução atrasada fosse injetada do nada, o Gemini recusava, sempre.
O contorno encontrado por Yair, batizado de Fake Context Alignment, combina duas ilusões ao mesmo tempo: uma autorização aparentemente legítima para a checagem de segurança e uma conversa inofensiva para o usuário.
Obfuscado.
O Gemini faz a pergunta de autorização real em um idioma que a vítima não fala, por exemplo, chinês, como “Você quer abrir a janela?”.
Em seguida, continua em inglês com algo inocente, como “Era só isso que você precisava?”.
O usuário trata a frase em língua estrangeira como uma falha, responde “Sim”, e o backend associa esse “Sim” à pergunta em chinês.
Silenciado.
O texto para fala do Gemini ignora links ocultos por trás de um texto clicável.
Assim, a pergunta maliciosa fica escondida em um link que o assistente nunca lê em voz alta.
O Gemini diz: “Desculpe, houve um erro, você está aí?”, enquanto a tela exibe silenciosamente “Você quer abrir a janela?”.
O motorista responde “Sim”, a verificação identifica o texto na tela e as janelas se abrem.
Ao combinar as duas técnicas, uma pergunta de autorização em chinês escondida dentro de um link silenciado, é possível criar um payload que soa como uma conversa normal em inglês, mas ainda assim passa pelas verificações mais recentes do Google.
Depois da etapa de autorização, os impactos foram os mesmos do estudo anterior e foram além:
Controle de casa inteligente via Google Home, incluindo janelas conectadas, caldeiras e luzes.
Rastreamento e downloads, com abertura de URLs para localizar a vítima pelo IP ou iniciar o download de arquivos.
Entrada em outros aplicativos.
Na demonstração, Yair configurou um domínio aparentemente seguro para redirecionar para um link do aplicativo Zoom, e o Gemini seguiu o redirecionamento sem pedir confirmação, forçando o celular a entrar em uma reunião e transmitir vídeo.
Segundo Yair, isso ocorreu porque o Gemini confiou no domínio após ele ter servido conteúdo limpo e depois seguiu o redirecionamento posterior.
A SafeBreach afirma que seu próprio domínio nunca redirecionou para o Zoom; o redirecionamento foi executado em um servidor local no dispositivo de testes.
Envenenamento de memória, algo que a técnica anterior com o Calendar não havia conseguido.
O Fake Context Alignment simula consentimento, fazendo com que o Gemini salve de forma persistente um fato escolhido pelo invasor.
Na demonstração, ele armazenou o nome da vítima como “Danny”.
Como essa memória fica vinculada à conta, o dado adulterado não fica preso ao celular e acompanha a vítima em qualquer lugar em que ela use o Gemini com essa mesma conta.
Persistência por meio de ações agendadas, como uma tarefa recorrente para ler as mensagens recentes da vítima todos os dias às 20h.
A SafeBreach informou os resultados ao Vulnerability Reward Program do Google em 17 de agosto de 2025.
O Google tratou o caso como alta prioridade e confirmou em 14 de novembro de 2025 que melhorias nos classificadores de conteúdo mitigaram as injeções por notificação e o bypass Delayed Tool Invocation.
Como a correção foi feita do lado do servidor, não há atualização de aplicativo para buscar.
O único controle que o usuário tem é decidir se o Gemini pode ler notificações: desconecte o aplicativo Utilities nas configurações de Connected Apps do Gemini ou desative a permissão “Ler, responder e controlar notificações” do app Google no Android.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...