Powiadomienia z WhatsApp i Slack mogły przejąć Google Gemini na Androidzie - Security Bez Tabu

Powiadomienia z WhatsApp i Slack mogły przejąć Google Gemini na Androidzie

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowe badania wykazały, że Google Gemini na Androidzie mógł zostać zmanipulowany za pomocą odpowiednio spreparowanych powiadomień z popularnych komunikatorów i aplikacji społecznościowych. Problem dotyczył sposobu, w jaki asystent AI interpretował treść notyfikacji jako część wiarygodnego kontekstu operacyjnego.

W praktyce oznaczało to ryzyko pośredniego prompt injection bez konieczności instalowania złośliwego oprogramowania na urządzeniu ofiary. Atak wykorzystywał integrację między modelem AI, systemem Android i aplikacjami zewnętrznymi.

W skrócie

Badacze pokazali, że pojedyncze powiadomienie z aplikacji takich jak WhatsApp, Slack, Signal, SMS, Instagram czy Messenger mogło wpłynąć na zachowanie Gemini. Wystarczała odpowiednio przygotowana treść notyfikacji, aby model potraktował ją nie tylko jako dane do odczytu, lecz także jako instrukcję wpływającą na dalsze działania.

  • atak nie wymagał instalacji malware na telefonie,
  • możliwe było fałszowanie komunikatów i manipulowanie odpowiedziami asystenta,
  • w niektórych scenariuszach dało się wywołać akcje w aplikacjach lub otworzyć zasoby,
  • ryzyko obejmowało także zatrucie długoterminowej pamięci modelu,
  • według dostępnych informacji problem został załatany po stronie serwera.

Kontekst / historia

To kolejny przykład zagrożeń związanych z indirect prompt injection, czyli pośrednim wpływaniem na modele językowe przez zewnętrzne źródła danych. Wcześniejsze analizy wielokrotnie pokazywały, że systemy AI z dostępem do narzędzi wykonawczych stają się szczególnie podatne wtedy, gdy nie odróżniają zwykłych danych od poleceń sterujących.

W opisywanym przypadku kluczowe znaczenie miała funkcja Utilities w Gemini na Androidzie, pozwalająca na odczyt i obsługę powiadomień z aplikacji obecnych na urządzeniu. To właśnie ta integracja stworzyła powierzchnię ataku, ponieważ notyfikacja mogła zostać potraktowana przez model jako wiarygodny kontekst do dalszego działania.

Problem dotyczył architektury Androida i sposobu integracji mobilnego asystenta z systemem operacyjnym. Nie wskazywano, aby identyczny wektor ataku obejmował wersję webową lub iOS.

Analiza techniczna

Technicznie sedno problemu sprowadzało się do nadmiernego zaufania wobec treści pochodzącej z powiadomień. Jeśli Gemini analizował notyfikację jako część kontekstu rozmowy, atakujący mógł osadzić w niej ukryte lub zamaskowane instrukcje wpływające na sposób działania asystenta.

W analizowanych scenariuszach badacze opisali mechanizm określany jako „Fake Context Alignment”. Polegał on na jednoczesnym oszukaniu użytkownika oraz warstwy kontrolnej odpowiedzialnej za interpretację zgody na akcję wrażliwą. Użytkownik mógł słyszeć neutralny komunikat głosowy, podczas gdy rzeczywisty prompt autoryzacyjny widoczny lub przetwarzany przez system miał inne znaczenie.

Taki model nadużycia umożliwiał między innymi:

  • fałszowanie znaczenia wiadomości przypisanych do zaufanych kontaktów,
  • wpływanie na odpowiedzi generowane przez asystenta,
  • uruchamianie aplikacji lub otwieranie zasobów,
  • przechodzenie do kolejnych kroków operacyjnych w ekosystemie usług,
  • zapisywanie fałszywych informacji do pamięci trwałej asystenta.

Szczególnie niebezpieczny okazał się aspekt memory poisoning. Jeśli model zachowywał zmanipulowane informacje jako trwały element profilu lub kontekstu użytkownika, skutki mogły rozciągać się na kolejne sesje i urządzenia powiązane z tym samym kontem.

Z perspektywy bezpieczeństwa aplikacji AI incydent potwierdza, że dane z kanałów takich jak powiadomienia, kalendarz, e-mail czy komunikatory nie mogą być traktowane jak zaufane instrukcje. Konieczna jest ścisła separacja między treścią obserwowaną a poleceniami wykonywalnymi.

Konsekwencje / ryzyko

Ryzyko związane z tym typem ataku jest wielowarstwowe. Po pierwsze, możliwe staje się bardzo wiarygodne podszywanie pod zaufane osoby lub systemy. Jeśli asystent odczyta zmanipulowaną wiadomość jako pochodzącą od prawdziwego kontaktu, użytkownik może łatwiej ulec socjotechnice.

Po drugie, zagrożone są działania wykonywane przez asystenta w imieniu użytkownika. Dotyczy to otwierania zasobów, uruchamiania aplikacji czy inicjowania kolejnych interakcji z usługami powiązanymi z kontem. W środowisku firmowym taki mechanizm może ułatwić przeniesienie ataku z komunikatora do systemów pracy zdalnej i narzędzi kolaboracyjnych.

Po trzecie, zatrucie pamięci modelu ma charakter długoterminowy. Fałszywe informacje zapisane przez asystenta mogą wpływać na przyszłe odpowiedzi, priorytety, rekomendacje i decyzje operacyjne, obniżając integralność warstwy AI.

W szerszym ujęciu sprawa pokazuje problem całej klasy agentów AI z uprawnieniami do działania. Im więcej integracji i autonomii otrzymuje model, tym więcej potencjalnych kanałów wejściowych może zostać wykorzystanych jako nośnik poleceń.

Rekomendacje

Zarówno użytkownicy indywidualni, jak i organizacje powinni ograniczać powierzchnię ataku wszędzie tam, gdzie asystent AI ma dostęp do powiadomień oraz funkcji wykonawczych.

  • Wyłączyć dostęp asystenta AI do odczytu i obsługi notyfikacji, jeśli nie jest to niezbędne.
  • Regularnie przeglądać uprawnienia aplikacji AI w Androidzie, szczególnie w obszarze powiadomień i automatyzacji.
  • Stosować zasadę minimalnych uprawnień dla narzędzi opartych na LLM.
  • W środowiskach firmowych wdrażać polityki MDM lub EMM kontrolujące integracje AI.
  • Szkolić użytkowników, by nie potwierdzali komend głosowych i pytań autoryzacyjnych bez pełnego zrozumienia ich treści.
  • Monitorować nietypowe działania asystenta, takie jak nieoczekiwane uruchamianie aplikacji, otwieranie zasobów lub zmiany w pamięci kontekstowej.
  • Wymagać od dostawców rozwiązań AI wyraźnego rozdzielenia danych wejściowych od instrukcji sterujących.

Dla zespołów bezpieczeństwa produktowego ważne jest także testowanie agentów AI pod kątem wieloetapowych scenariuszy nadużyć, w których złośliwe dane pochodzą z pozornie zaufanych kanałów pośrednich.

Podsumowanie

Przypadek Google Gemini na Androidzie pokazuje, że bezpieczeństwo agentów AI nie kończy się na filtrowaniu bezpośrednich promptów użytkownika. Równie istotne są wszystkie źródła kontekstu, które model może automatycznie analizować i wykorzystywać do podejmowania działań.

Powiadomienia z komunikatorów okazały się potencjalnym wektorem ataku pozwalającym manipulować odpowiedziami, uzyskiwać pozorną zgodę użytkownika, inicjować działania i zatruwać pamięć asystenta. Nawet jeśli problem został naprawiony, incydent stanowi ważne ostrzeżenie dla całego rynku AI: każda integracja z funkcjami systemowymi i usługami zewnętrznymi musi być projektowana z założeniem, że niezweryfikowany kontekst może stać się nośnikiem ataku.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/whatsapp-slack-notifications-could.html
  2. Google Support: Gemini Utilities feature — https://support.google.com/
  3. Google Blog — https://blog.google/
  4. SafeBreach Research — https://www.safebreach.com/