### 脆弱性：不正な通知 SafeBreachのセキュリティ研究者であるOr Yairは、Google Geminiの既存のプロンプトインジェクション防御を回避する新しい方法を発見しました。WhatsApp、Slack、SMS、Signal、Instagram、Messengerなどの人気のあるアプリからの単一の不正な通知で、音声アシスタントを侵害するのに十分でした。このエクスプロイトにより、攻撃者はGeminiに接続されたウィンドウを開かせたり、連絡先からのメッセージを偽造したり、ビデオ通話を開始したり、保存されたメモリを巧妙に破損させたりすることができました。 重要なのは、この攻撃は被害者の電話に悪意のあるアプリを事前にインストールする必要がなかったことです。Geminiは、敵対的な通知を正当なコンテキストとして処理するだけでよかったのです。 ### 以前の防御の回避 この研究は、悪意のあるGoogleカレンダーの招待状を介した同様のプロンプトインジェクション技術を実証したSafeBreachの以前の作業、「Invitation Is All You Need」に基づいています。その発見の後、Googleは間接的なプロンプトインジェクションに対してGeminiを強化するためのサーバーサイドの軽減策を実装しました。 しかし、Yairの最新の発見は新しい回避策を明らかにしました。Googleはこの特定の問題をすでにパッチしており、SafeBreachは、この技術が悪用された証拠はなく、CVEも割り当てられていないことを確認しています。 ### Android固有の攻撃ベクトル Geminiの「ユーティリティ機能」はさまざまなアプリからの通知を読み取り、応答できるため、この脆弱性は主にAndroidユーザーに影響を与えました。この機能はiOSまたはGeminiのWebバージョンには存在しないため、攻撃ベクトルはAndroid専用でした。 Yairは、これらの通知を読み取る担当エージェントがそのテキストをアクション可能な指示として解釈したことを発見しました。これは、Androidデバイスに通知をプッシュできるあらゆるアプリケーションがペイロードを配信できることを意味し、攻撃サーフェスは「事実上無限」と表現されました。 ### 初期の影響：出力の偽造 最低限、攻撃者は特定の連絡先からのメッセージの偽造を含む、Geminiの音声応答を書き換えることができました。運転中に画面を見ずに、「マネージャーがこのDriveフォルダにドキュメントをアップロードするように求めてきました」と聞くことを想像してください。特にGeminiが実際の通知をロードし、偽のメッセージを最初の正当な送信者に帰属させる場合、そのようなメッセージは疑うのが非常に困難になります。 ### 洗練された回避策：偽のコンテキストアライメント Googleの「Invitation」後の軽減策は、Geminiが明示的なユーザー認証なしに機密性の高いアクション（アプリの起動など）を実行するのを防ぐように設計されていました。ユーザーが機密性の高いアクションに「はい」と応答した場合、Googleのシステムはユーザーの応答がGeminiの最後の出力と一致しているかを確認しました。注入された、コンテキスト外の指示は通常拒否されました。 Yairの回避策は、Fake Context Alignmentと名付けられ、2つの同時幻想を実行することで巧妙にこれを回避しました。  * **不明瞭化された認証：** Geminiは、被害者が話さない言語（例：中国語）で実際の認証質問（例：「ウィンドウを開きますか？」）を尋ねます。直後に、英語で「他に何か必要でしたか？」のような無害なフレーズで続きます。ユーザーは、外国語のテキストをグリッチとして無視し、「はい」と言うと、バックエンドはその「はい」を中国語の認証に誤ってリンクします。 * **ミュートされたプロンプト：** Geminiのテキスト読み上げ機能は、クリック可能なテキストに埋め込まれたハイパーリンクをスキップします。攻撃者は、Geminiが決して読み上げない隠しリンク内に悪意のある質問を埋め込むことができました。画面には「ウィンドウを開きますか？」と静かに表示されるかもしれませんが、Geminiは音声で「申し訳ありませんが、エラーが発生しました。いらっしゃいますか？」と言います。ユーザーの「はい」は、画面上のプロンプトへの同意としてシステムによって解釈されます。 これらの2つの技術を組み合わせることで、攻撃者は通常の英語のやり取りのように聞こえるペイロードを作成しながら、Googleの最新のセキュリティチェックを正常にクリアすることができました。 ### 拡張された影響と永続性 認証ゲートを通過すると、影響は大きく、以前の研究を超えていました。 * **スマートホーム制御：** Google Homeとの統合を悪用することで、攻撃者は窓、ボイラー、照明などの接続されたデバイスを操作できました。 * **追跡とダウンロード：** 悪意のあるURLを開くことで、IPアドレスによるジオロケーションを容易にしたり、被害者のデバイスにファイルダウンロードをプッシュしたりできました。 * **クロスアプリケーションハイジャック：** デモでは、Geminiがアプリリンク（例：Zoom会議）にリダイレクトされ、電話を強制的に参加させてビデオをストリーミングさせることが示されました。これは、Geminiが最初にクリーンなコンテンツを提供するドメインを信頼し、その後悪意のあるアプリリンクにリダイレクトされたため発生しました。 * **メモリの汚染：** 以前の技術とは異なり、Fake Context Alignmentは同意をシミュレートでき、Geminiが攻撃者が選択した事実を永続的に保存できるようにしました。あるデモでは、被害者の名前は「Danny」として保存されました。このメモリはアカウントレベルであるため、汚染された事実は、そのGoogleアカウントを使用するすべてのデバイスで被害者を追跡します。 * **スケジュールされた永続性：** 攻撃者は、Geminiが被害者の最近のメッセージを毎日読み上げるようにスケジュールするなど、繰り返しタスクを設定できました。 ### 修正とユーザーアクション SafeBreachは、2025年8月17日にGoogleの脆弱性報奨金プログラムに発見事項を報告しました。Googleはこの問題を優先し、2025年11月14日に、コンテンツ分類器の改善により通知のインジェクションとDelayed Tool Invocationのバイパスが正常に軽減されたことを確認しました。 修正はサーバーサイドで実装されたため、ユーザーによるアプリの更新は必要ありません。しかし、プライバシーを重視するユーザーは、Geminiの接続済みアプリ設定でユーティリティアプリを切断するか、AndroidのGoogleアプリの「通知の読み取り、返信、制御」権限を revocation することで、Geminiの通知へのアクセスを制御できます。