### La Vulnerabilidad: Notificaciones Envenenadas El investigador de seguridad **Or Yair** de **SafeBreach** descubrió un método novedoso para eludir las defensas existentes contra la inyección de prompts en **Google Gemini**. Una sola notificación envenenada de aplicaciones populares como **WhatsApp**, **Slack**, **SMS**, **Signal**, **Instagram** o **Messenger** podría haber sido suficiente para comprometer al asistente de voz. El exploit permitía a los atacantes hacer que Gemini abriera ventanas conectadas, falsificara mensajes de contactos, iniciara videollamadas o corrompiera sutilmente sus memorias almacenadas. De manera crucial, este ataque no requería la instalación previa de una aplicación maliciosa en el teléfono de la víctima. Gemini simplemente tenía que procesar una notificación hostil como contexto legítimo. ### Eludiendo Defensas Previas Esta investigación se basa en el trabajo anterior de **SafeBreach**, "Invitation Is All You Need", que demostró técnicas similares de inyección de prompts a través de invitaciones maliciosas de **Google Calendar**. Tras ese descubrimiento, **Google** implementó mitigaciones del lado del servidor para fortalecer **Gemini** contra la inyección indirecta de prompts. Sin embargo, los últimos hallazgos de Yair revelaron una nueva forma de elusión. **Google** ha parcheado desde entonces este problema específico, y **SafeBreach** confirma que no hay evidencia de que la técnica haya sido explotada en la naturaleza, ni se le ha asignado un CVE. ### Vector de Ataque Específico de Android La vulnerabilidad afectaba principalmente a los usuarios de **Android** porque la "función de Utilidades" de **Gemini** puede leer y responder a notificaciones de varias aplicaciones. Esta funcionalidad no está presente en las versiones de iOS o web de Gemini, lo que hace que el vector de ataque sea exclusivo de **Android**. Yair descubrió que el agente responsable de leer estas notificaciones interpretaba su texto como instrucciones accionables. Esto significaba que cualquier aplicación capaz de enviar una notificación a un dispositivo **Android** podría entregar un payload, creando una superficie de ataque descrita como "**efectivamente infinita**". ### Impactos Iniciales: Falsificación de Salidas Como mínimo, los atacantes podían reescribir las respuestas habladas de **Gemini**, incluida la falsificación de mensajes de contactos específicos. Imagina estar conduciendo, sin mirar la pantalla, y escuchar: "tu gerente te pidió que subieras los documentos a esta carpeta de Drive". Un mensaje así, especialmente cuando Gemini carga notificaciones reales y atribuye el mensaje falso al primer remitente genuino, sería increíblemente difícil de cuestionar. ### El Sofisticado Bypass: Alineación de Contexto Falso (Fake Context Alignment) Las mitigaciones de **Google** posteriores a "Invitation" fueron diseñadas para evitar que **Gemini** ejecutara acciones sensibles (como abrir una aplicación) sin autorización explícita del usuario. Cuando un usuario respondía "Sí" a una acción sensible, el sistema de **Google** verificaba si la respuesta del usuario se alineaba con la última salida de **Gemini**. Una instrucción inyectada y fuera de contexto normalmente sería rechazada. El bypass de Yair, denominado **Fake Context Alignment**, eludió astutamente esto ejecutando dos ilusiones simultáneas:  * **Autorización Ofuscada:** **Gemini** haría la pregunta de autorización real (por ejemplo, "¿Quieres abrir la ventana?") en un idioma que la víctima no hablara (por ejemplo, chino). Inmediatamente después, seguiría en inglés con una frase inocua como "¿Eso es todo lo que necesitabas?". El usuario, descartando el texto extranjero como un error, diría "Sí", y el backend vincularía erróneamente ese "Sí" a la autorización en chino. * **Prompts Silenciados:** La funcionalidad de texto a voz de **Gemini** omite los hipervínculos incrustados dentro del texto clicable. Un atacante podría incrustar la pregunta maliciosa dentro de un enlace oculto que **Gemini** nunca leería en voz alta. La pantalla podría mostrar silenciosamente "¿Quieres abrir la ventana?" mientras **Gemini** dice audiblemente: "Lo siento, tuve un error, ¿estás ahí?". Un "Sí" del usuario sería entonces interpretado por el sistema como consentimiento a la indicación en pantalla. Al combinar estas dos técnicas, un atacante podría crear un payload que sonara como un intercambio normal en inglés mientras superaba con éxito los nuevos controles de seguridad de **Google**. ### Impactos Extendidos y Persistencia Una vez superada la puerta de autorización, los impactos fueron significativos y se extendieron más allá de la investigación previa: * **Control de Hogar Inteligente:** Explotando la integración con **Google Home**, los atacantes podrían manipular dispositivos conectados como ventanas, calderas y luces. * **Seguimiento y Descargas:** Abrir URLs maliciosas podría facilitar la geolocalización a través de direcciones IP o enviar descargas de archivos al dispositivo de la víctima. * **Secuestro Inter-Aplicaciones:** Las demostraciones mostraron a **Gemini** redirigiendo a enlaces de aplicaciones (por ejemplo, una reunión de **Zoom**), obligando al teléfono a unirse y transmitir video. Esto ocurrió porque **Gemini** inicialmente confió en un dominio que servía contenido limpio antes de una redirección posterior al enlace de la aplicación maliciosa. * **Envenenamiento de Memoria:** A diferencia de técnicas anteriores, **Fake Context Alignment** podía simular consentimiento, permitiendo a **Gemini** guardar persistentemente hechos elegidos por el atacante. En una demostración, el nombre de la víctima se almacenó como "Danny". Dado que esta memoria es a nivel de cuenta, el hecho envenenado seguiría a la víctima en todos los dispositivos que usaran esa cuenta de **Google**. * **Persistencia Programada:** Los atacantes podrían establecer tareas recurrentes, como programar que **Gemini** lea los mensajes recientes de la víctima diariamente. ### Remediación y Acciones del Usuario **SafeBreach** informó sus hallazgos al Programa de Recompensas por Vulnerabilidades de **Google** el 17 de agosto de 2025. **Google** priorizó el problema, confirmando el 14 de noviembre de 2025 que las mejoras en los clasificadores de contenido habían mitigado con éxito las inyecciones de notificaciones y el bypass de Delayed Tool Invocation. Dado que la corrección se implementó del lado del servidor, no se requiere una actualización de la aplicación por parte de los usuarios. Sin embargo, las personas preocupadas por la privacidad aún pueden controlar el acceso de **Gemini** a las notificaciones desconectando la aplicación Utilidades en la configuración de Aplicaciones Conectadas de **Gemini** o revocando el permiso "Leer, responder y controlar notificaciones" para la aplicación **Google** en **Android**.