### La Vulnérabilité : Notifications Empoisonnées Le chercheur en sécurité **Or Yair** de **SafeBreach** a découvert une méthode novatrice pour contourner les défenses existantes contre l'injection de prompt dans **Google Gemini**. Une seule notification empoisonnée provenant d'applications populaires comme **WhatsApp**, **Slack**, **SMS**, **Signal**, **Instagram** ou **Messenger** aurait pu suffire à compromettre l'assistant vocal. L'exploit permettait aux attaquants de faire ouvrir des fenêtres connectées à Gemini, d'usurper des messages de contacts, d'initier des appels vidéo ou de corrompre subtilement ses mémoires stockées. Crucialement, cette attaque ne nécessitait aucune installation préalable d'une application malveillante sur le téléphone de la victime. Gemini devait simplement traiter une notification hostile comme un contexte légitime. ### Contournement des Défenses Précédentes Cette recherche s'appuie sur les travaux antérieurs de **SafeBreach**, "Invitation Is All You Need", qui démontraient des techniques similaires d'injection de prompt via de fausses invitations **Google Calendar**. Suite à cette découverte, **Google** avait mis en place des mesures d'atténuation côté serveur pour renforcer **Gemini** contre l'injection de prompt indirecte. Cependant, les dernières découvertes de Yair ont révélé un nouveau contournement. **Google** a depuis corrigé ce problème spécifique, et **SafeBreach** confirme qu'il n'y a aucune preuve que la technique ait été exploitée dans la nature, ni qu'un CVE ait été attribué. ### Vecteur d'Attaque Spécifique à Android La vulnérabilité affectait principalement les utilisateurs **Android** car la "fonctionnalité Utilitaires" de **Gemini** peut lire et répondre aux notifications de diverses applications. Cette fonctionnalité n'est pas présente sur les versions iOS ou web de Gemini, rendant le vecteur d'attaque exclusif à **Android**. Yair a découvert que l'agent responsable de la lecture de ces notifications interprétait leur texte comme des instructions exécutables. Cela signifiait que toute application capable d'envoyer une notification à un appareil **Android** pouvait délivrer un payload, créant une surface d'attaque décrite comme "**effectivement infinie**". ### Impacts Initiaux : Usurpation de Sortie Au minimum, les attaquants pouvaient réécrire les réponses vocales de **Gemini**, y compris usurper des messages de contacts spécifiques. Imaginez conduire, sans regarder votre écran, et entendre : "votre manager vous a demandé de télécharger les documents dans ce dossier Drive". Un tel message, surtout lorsque Gemini charge de vraies notifications et attribue le faux message au premier expéditeur légitime, serait incroyablement difficile à remettre en question. ### Le Contournement Sophistiqué : Fake Context Alignment Les mesures d'atténuation post-"Invitation" de **Google** étaient conçues pour empêcher **Gemini** d'exécuter des actions sensibles (comme ouvrir une application) sans autorisation explicite de l'utilisateur. Lorsqu'un utilisateur répondait "Oui" à une action sensible, le système de **Google** vérifiait si la réponse de l'utilisateur correspondait à la dernière sortie de **Gemini**. Une instruction injectée et hors contexte serait généralement refusée. Le contournement de Yair, surnommé **Fake Context Alignment**, a habilement contourné cela en créant deux illusions simultanées :  * **Autorisation Obfusquée :** **Gemini** poserait la vraie question d'autorisation (par exemple, "Voulez-vous ouvrir la fenêtre ?") dans une langue que la victime ne parle pas (par exemple, le chinois). Immédiatement après, il enchaînerait en anglais avec une phrase anodine comme "C'est tout ce dont vous aviez besoin ?". L'utilisateur, ignorant le texte étranger comme un bug, dirait "Oui", et le backend associerait erronément ce "Oui" à l'autorisation chinoise. * **Prompts Muets :** La fonctionnalité de synthèse vocale de **Gemini** ignore les hyperliens intégrés dans le texte cliquable. Un attaquant pourrait intégrer la question malveillante dans un lien caché que **Gemini** ne lirait jamais à voix haute. L'écran pourrait afficher silencieusement "Voulez-vous ouvrir la fenêtre ?" tandis que **Gemini** dirait audiblement : "Je suis désolé, j'ai eu une erreur, êtes-vous là ?". Un "Oui" de l'utilisateur serait alors interprété par le système comme un consentement au prompt affiché à l'écran. En combinant ces deux techniques, un attaquant pouvait créer un payload qui ressemblait à un échange normal en anglais tout en réussissant à passer les nouvelles vérifications de sécurité de **Google**. ### Impacts Étendus et Persistance Une fois le portail d'autorisation franchi, les impacts étaient significatifs et dépassaient les recherches précédentes : * **Contrôle de la Maison Intelligente :** En exploitant l'intégration avec **Google Home**, les attaquants pouvaient manipuler des appareils connectés comme les fenêtres, les chaudières et les lumières. * **Suivi et Téléchargements :** L'ouverture d'URL malveillantes pouvait faciliter la géolocalisation via les adresses IP ou pousser des téléchargements de fichiers sur l'appareil de la victime. * **Détournement Inter-Applications :** Des démonstrations ont montré **Gemini** redirigeant vers des liens d'applications (par exemple, une réunion **Zoom**), forçant le téléphone à rejoindre et à diffuser la vidéo. Cela s'est produit car **Gemini** faisait initialement confiance à un domaine qui servait du contenu propre avant une redirection ultérieure vers le lien de l'application malveillante. * **Empoisonnement de la Mémoire :** Contrairement aux techniques précédentes, **Fake Context Alignment** pouvait simuler un consentement, permettant à **Gemini** de sauvegarder de manière persistante des faits choisis par l'attaquant. Dans une démonstration, le nom de la victime a été enregistré comme "Danny". Comme cette mémoire est au niveau du compte, le fait empoisonné suivrait la victime sur tous les appareils utilisant ce compte **Google**. * **Persistance Planifiée :** Les attaquants pouvaient établir des tâches récurrentes, comme programmer **Gemini** pour lire les messages récents de la victime quotidiennement. ### Remédiation et Actions Utilisateur **SafeBreach** a signalé ses découvertes au Programme de récompense pour les vulnérabilités de **Google** le 17 août 2025. **Google** a priorisé le problème, confirmant le 14 novembre 2025 que des améliorations apportées aux classificateurs de contenu avaient permis de mitiger avec succès les injections de notifications et le contournement Delayed Tool Invocation. Comme la correction a été implémentée côté serveur, aucune mise à jour d'application n'est requise par les utilisateurs. Cependant, les personnes soucieuses de leur vie privée peuvent toujours contrôler l'accès de **Gemini** aux notifications en déconnectant l'application Utilitaires dans les paramètres des Applications Connectées de **Gemini** ou en révoquant l'autorisation "Lecture, réponse et contrôle des notifications" pour l'application **Google** sur **Android**.