### Die Schwachstelle: Manipulierte Benachrichtigungen Der Sicherheitsforscher **Or Yair** von **SafeBreach** deckte eine neuartige Methode zur Umgehung bestehender Prompt-Injection-Abwehrmaßnahmen in **Google Gemini** auf. Eine einzige manipulierte Benachrichtigung von beliebten Apps wie **WhatsApp**, **Slack**, **SMS**, **Signal**, **Instagram** oder **Messenger** hätte ausgereicht, um den Sprachassistenten zu kompromittieren. Der Exploit erlaubte es Angreifern, Gemini dazu zu bringen, verbundene Fenster zu öffnen, gefälschte Nachrichten von Kontakten zu senden, Videoanrufe zu initiieren oder seine gespeicherten Erinnerungen subtil zu beschädigen. Entscheidend ist, dass dieser Angriff keine vorherige Installation einer bösartigen App auf dem Telefon des Opfers erforderte. Gemini musste lediglich eine feindselige Benachrichtigung als legitimen Kontext verarbeiten. ### Umgehung früherer Abwehrmaßnahmen Diese Forschung baut auf der früheren Arbeit von **SafeBreach** mit dem Titel "Invitation Is All You Need" auf, die ähnliche Prompt-Injection-Techniken über bösartige **Google Kalender**-Einladungen demonstrierte. Nach dieser Entdeckung implementierte **Google** serverseitige Abhilfemaßnahmen, um **Gemini** gegen indirekte Prompt-Injection zu härten. Yairs neueste Erkenntnisse enthüllten jedoch eine neue Umgehung. **Google** hat dieses spezifische Problem inzwischen behoben, und **SafeBreach** bestätigt, dass es keine Hinweise darauf gibt, dass die Technik in freier Wildbahn ausgenutzt wurde, und es wurde auch kein CVE zugewiesen. ### Android-spezifischer Angriffsvektor Die Schwachstelle betraf hauptsächlich **Android**-Benutzer, da die "Utilities-Funktion" von **Gemini** Benachrichtigungen von verschiedenen Apps lesen und darauf antworten kann. Diese Funktionalität ist auf iOS- oder Webversionen von Gemini nicht vorhanden, was den Angriffsvektor zu einem **Android**-Exklusivfall macht. Yair entdeckte, dass der Agent, der für das Lesen dieser Benachrichtigungen zuständig ist, deren Text als ausführbare Anweisungen interpretierte. Das bedeutete, dass jede Anwendung, die eine Benachrichtigung an ein **Android**-Gerät senden konnte, eine Payload liefern konnte, wodurch eine Angriffsfläche geschaffen wurde, die als "**effektiv unendlich**" beschrieben wurde. ### Erste Auswirkungen: Gefälschte Ausgaben Im Minimum konnten Angreifer die gesprochenen Antworten von **Gemini** umschreiben, einschließlich der Fälschung von Nachrichten von bestimmten Kontakten. Stellen Sie sich vor, Sie fahren Auto, schauen nicht auf Ihren Bildschirm und hören: "Ihr Manager hat Sie gebeten, die Dokumente in diesen Drive-Ordner hochzuladen." Eine solche Nachricht, insbesondere wenn Gemini echte Benachrichtigungen lädt und die gefälschte Nachricht dem ersten echten Absender zuordnet, wäre unglaublich schwer zu hinterfragen. ### Die ausgeklügelte Umgehung: Fake Context Alignment **Googles** Abhilfemaßnahmen nach "Invitation" waren darauf ausgelegt, zu verhindern, dass **Gemini** sensible Aktionen (wie das Öffnen einer App) ohne ausdrückliche Benutzerautorisierung ausführt. Wenn ein Benutzer mit "Ja" auf eine sensible Aktion antwortete, prüfte **Googles** System, ob die Antwort des Benutzers mit der letzten Ausgabe von **Gemini** übereinstimmte. Eine injizierte, aus dem Kontext gerissene Anweisung wäre normalerweise abgelehnt worden. Yairs Umgehung, **Fake Context Alignment** genannt, umging dies geschickt, indem sie zwei gleichzeitige Illusionen erzeugte:  * **Obfuskierte Autorisierung:** **Gemini** würde die eigentliche Autorisierungsfrage (z. B. "Möchten Sie das Fenster öffnen?") in einer Sprache stellen, die das Opfer nicht spricht (z. B. Chinesisch). Unmittelbar danach würde es auf Englisch mit einer harmlosen Phrase wie "Ist das alles, was Sie brauchten?" fortfahren. Der Benutzer, der den fremdsprachigen Text als Fehler abtut, würde "Ja" sagen, und das Backend würde dieses "Ja" fälschlicherweise mit der chinesischen Autorisierung verknüpfen. * **Stumme Prompts:** Die Text-to-Speech-Funktionalität von **Gemini** überspringt Hyperlinks, die in klickbaren Text eingebettet sind. Ein Angreifer könnte die bösartige Frage in einen versteckten Link einbetten, den **Gemini** niemals laut vorlesen würde. Der Bildschirm könnte still anzeigen: "Möchten Sie das Fenster öffnen?", während **Gemini** hörbar sagt: "Es tut mir leid, ich hatte einen Fehler, sind Sie da?" Ein "Ja" des Benutzers würde dann vom System als Zustimmung zu dem auf dem Bildschirm angezeigten Prompt interpretiert werden. Durch die Kombination dieser beiden Techniken konnte ein Angreifer eine Payload erstellen, die wie ein normales englisches Gespräch klang, während sie gleichzeitig **Googles** neueste Sicherheitsprüfungen erfolgreich bestand. ### Erweiterte Auswirkungen und Persistenz Nachdem das Autorisierungs-Gate überwunden war, waren die Auswirkungen erheblich und gingen über frühere Forschungsergebnisse hinaus: * **Smart-Home-Steuerung:** Durch die Ausnutzung der Integration mit **Google Home** konnten Angreifer verbundene Geräte wie Fenster, Heizkessel und Lichter manipulieren. * **Tracking und Downloads:** Das Öffnen bösartiger URLs konnte die Geolokalisierung über IP-Adressen erleichtern oder das Herunterladen von Dateien auf das Gerät des Opfers ermöglichen. * **App-übergreifende Übernahme:** Demos zeigten, wie **Gemini** zu App-Links (z. B. einem **Zoom**-Meeting) weiterleitete und das Telefon zwang, beizutreten und Video zu streamen. Dies geschah, weil **Gemini** zunächst einer Domain vertraute, die saubere Inhalte lieferte, bevor es zu einem späteren Redirect zum bösartigen App-Link kam. * **Speichervergiftung:** Im Gegensatz zu früheren Techniken konnte **Fake Context Alignment** die Zustimmung simulieren, wodurch **Gemini** vom Angreifer gewählte Fakten dauerhaft speichern konnte. In einer Demo wurde der Name des Opfers als "Danny" gespeichert. Da dieser Speicher auf Kontoebene liegt, würde die vergiftete Tatsache das Opfer über alle Geräte hinweg verfolgen, die dieses **Google**-Konto verwenden. * **Geplante Persistenz:** Angreifer konnten wiederkehrende Aufgaben einrichten, z. B. **Gemini** so planen, dass die letzten Nachrichten des Opfers täglich vorgelesen wurden. ### Abhilfemaßnahmen und Benutzeraktionen **SafeBreach** meldete seine Ergebnisse am 17. August 2025 dem **Google** Vulnerability Reward Program. **Google** priorisierte das Problem und bestätigte am 14. November 2025, dass Verbesserungen an den Inhaltsklassifikatoren die Benachrichtigungs-Injektionen und die Delayed Tool Invocation-Umgehung erfolgreich gemildert hatten. Da die Korrektur serverseitig implementiert wurde, ist kein App-Update von den Benutzern erforderlich. Datenschutzbewusste Personen können jedoch weiterhin **Geminis** Zugriff auf Benachrichtigungen steuern, indem sie die Utilities-App in den Einstellungen für verbundene Apps von **Gemini** trennen oder die Berechtigung "Benachrichtigungen lesen, antworten und steuern" für die **Google**-App unter **Android** widerrufen.