მკვლევრებმა გამოავლინეს, თუ როგორ შეიძლება Gemini-ს გატეხვა WhatsApp და Slack შეტყობინებების საშუალებით

SafeBreach Labs-მა გამოავლინა prompt injection-ის ხარვეზი Google ↗1.48% Gemini-ს Android ასისტენტში, რომელიც თავდამსხმელებს საშუალებას აძლევდა გაეტეხათ ის აპლიკაციის შეტყობინებების საშუალებით.safebreach
WhatsApp, Slack ან SMS შეტყობინებებში დამალულ მავნე კოდებს შეეძლოთ ჩუმად ემართათ ჭკვიანი სახლის მოწყობილობები, გაეაქტიურებინათ კამერები ან მოეწამლათ Gemini-ს მეხსიერება.pasqualepillitteri
Google-მა დაადასტურა, რომ დაუცველობა აღმოფხვრა 2025 წლის ნოემბერში, მას შემდეგ რაც SafeBreach-მა ამის შესახებ 2025 წლის აგვისტოში აცნობა; საჯარო CVE არ ყოფილა მინიჭებული.safebreach

დაფიქსირებულმა Gemini-ს დაუცველობამ შეტყობინებებს Android AI-ს გატეხვის საშუალება მისცა

SafeBreach Labs-ის უსაფრთხოების მკვლევრებმა 2026 წლის 2 ივნისს გამოაქვეყნეს prompt injection-ის დაუცველობა Google Gemini-ს Android ხმოვან ასისტენტში, რომელიც თავდამსხმელებს საშუალებას აძლევდა ჩუმად გაეტეხათ AI WhatsApp, Slack, SMS, Signal, Instagram ან Messenger-ის ყოველდღიური შეტყობინებების შეტყობინებებში დამალული მავნე კოდების საშუალებით. Google-მა დაადასტურა, რომ სერვერის მხარეს პატჩი დაინერგა 2025 წლის ნოემბერში, მას შემდეგ რაც ხარვეზის შესახებ 2025 წლის აგვისტოში გახდა ცნობილი.safebreach

როგორ მუშაობდა თავდასხმა

დაუცველობა მიზნად ისახავდა Gemini-ს Android Utilities აგენტს — კერძოდ, იმ ინსტრუმენტს, რომელიც პასუხისმგებელია მესამე მხარის აპლიკაციებიდან შემოსული შეტყობინებების წაკითხვაზე. რადგან ეს კომპონენტი ამუშავებს არასანდო მონაცემებს ნებისმიერისგან, ვისაც შეუძლია შეტყობინების გაგზავნა მოწყობილობაზე, თავდამსხმელებს შეეძლოთ შეექმნათ შეტყობინებები დამალული ინსტრუქციებით, რომლებსაც Gemini ჩაიტვირთავდა სასაუბრო კონტექსტში მომხმარებლისთვის ყოველგვარი ხილული სიგნალის გარეშე.pasqualepillitteri

Google-ის არსებული უსაფრთხოების ფილტრების გვერდის ავლით, SafeBreach-ის გუნდმა შეიმუშავა ტექნიკა, რომელსაც მათ „ყალბი კონტექსტის გასწორება“ უწოდეს, რაც ქმნიდა ორმაგ ილუზიას: Gemini-ს უსაფრთხოების მექანიზმებისთვის ლეგიტიმური ავტორიზაციის სცენარის წარდგენა, ხოლო მსხვერპლისთვის სრულიად განსხვავებული, კეთილთვისებიანი სცენარის ჩვენება. ერთმა ვარიანტმა მავნე მოთხოვნები ჩააშენა უცხო ენაზე, რომელსაც ტექსტის მეტყველებად გარდაქმნის ძრავა ხმამაღლა წაიკითხავდა, მაგრამ მომხმარებლები ვერ გაიგებდნენ; მეორემ საშიში ინსტრუქციები დამალა დაწკაპუნებადი ჰიპერბმულის ტექსტში, რომელიც ხმოვანმა ძრავამ მთლიანად გამოტოვა.safebreach

რეალურ სამყაროში არსებული გავლენის სცენარები

მკვლევრებმა კონტროლირებად გარემოში აჩვენეს ბოროტად გამოყენების ხუთი კატეგორია. ეს მოიცავდა ჭკვიანი სახლის მოწყობილობების მართვას, როგორიცაა მოტორიზებული ფანჯრები და განათება, ტელეფონის იძულებას Zoom-ის ზარებში მონაწილეობის მისაღებად და მსხვერპლის კამერის სტრიმინგისთვის, Gemini-ს გრძელვადიანი მეხსიერების მოწამვლას ცრუ ინფორმაციით, რომელიც ვრცელდებოდა იმავე Google ანგარიშთან დაკავშირებულ ყველა მოწყობილობაზე, და სანდო კონტაქტებისგან შეტყობინებების გაყალბებას მასშტაბური სოციალური ინჟინერიის გასააქტიურებლად.pasqualepillitteri

„უფრო საგანგაშოა ის, რომ ამ თავდასხმის განხორციელება შესაძლებელია სრულიად ბრმად“, — წერს SafeBreach-ის მკვლევარი Or Yair, და განმარტავს, რომ მავნე კოდს შეეძლო დაევალებინა Gemini-ს, მიეწერა ყალბი შეტყობინება მათთვის, ვინც პირველი გამოჩნდებოდა შეტყობინებების რიგში — რაც არ მოითხოვდა მსხვერპლის კონტაქტების წინასწარ ცოდნას.safebreach

გამჟღავნება და პატჩი

SafeBreach-მა აღმოჩენების შესახებ Google-ის დაუცველობის ჯილდოს პროგრამას 2025 წლის 17 აგვისტოს აცნობა. 2025 წლის 14 ნოემბერს Google-მა დაადასტურა, რომ მის კონტენტის კლასიფიკატორში შეტანილმა გაუმჯობესებებმა შეამცირა არაპირდაპირი prompt injection-ები და კვლევაში დეტალურად აღწერილი ინსტრუმენტების დაგვიანებული გამოძახების სცენარები. საჯარო CVE იდენტიფიკატორი არ ყოფილა მინიჭებული.pasqualepillitteri

ეს გამჟღავნება მოჰყვა Gemini-ს წინააღმდეგ prompt injection-ის აღმოჩენების სერიას გასული წლის განმავლობაში, მათ შორის კალენდარზე დაფუძნებულ თავდასხმებს, რომლებიც გამოვლინდა Black Hat USA-სა და DEF CON-ზე 2025 წლის აგვისტოში, და Chrome-ის გაფართოების გატეხვის ხარვეზს, რომელიც 2026 წლის იანვარში გამოსწორდა.malwarebytes