### A Vulnerabilidade: Notificações Corrompidas O pesquisador de segurança **Or Yair**, da **SafeBreach**, descobriu um método inovador para contornar as defesas existentes contra injeção de prompt no **Google Gemini**. Uma única notificação corrompida de aplicativos populares como **WhatsApp**, **Slack**, **SMS**, **Signal**, **Instagram** ou **Messenger** poderia ter sido suficiente para comprometer o assistente de voz. O exploit permitiu que atacantes fizessem o Gemini abrir janelas conectadas, falsificar mensagens de contatos, iniciar chamadas de vídeo ou corromper sutilmente suas memórias armazenadas. Crucialmente, este ataque não exigiu a instalação prévia de um aplicativo malicioso no telefone da vítima. O Gemini simplesmente precisava processar uma notificação hostil como contexto legítimo. ### Contornando Defesas Anteriores Esta pesquisa se baseia no trabalho anterior da **SafeBreach**, "Invitation Is All You Need", que demonstrou técnicas semelhantes de injeção de prompt através de convites maliciosos do **Google Calendar**. Após essa descoberta, o **Google** implementou mitigações do lado do servidor para fortalecer o **Gemini** contra injeção de prompt indireta. No entanto, as descobertas mais recentes de Yair revelaram um novo bypass. O **Google** já corrigiu essa questão específica, e a **SafeBreach** confirma que não há evidências de que a técnica tenha sido explorada em larga escala, nem foi atribuído um CVE. ### Vetor de Ataque Específico do Android A vulnerabilidade afetou principalmente usuários **Android** porque o "recurso de Utilitários" do **Gemini** pode ler e responder a notificações de vários aplicativos. Essa funcionalidade não está presente nas versões iOS ou web do Gemini, tornando o vetor de ataque exclusivo para **Android**. Yair descobriu que o agente responsável por ler essas notificações interpretava o texto delas como instruções acionáveis. Isso significava que qualquer aplicativo capaz de enviar uma notificação para um dispositivo **Android** poderia entregar um payload, criando uma superfície de ataque descrita como "**efetivamente infinita**". ### Impactos Iniciais: Falsificação de Saída No mínimo, os atacantes poderiam reescrever as respostas faladas do **Gemini**, incluindo a falsificação de mensagens de contatos específicos. Imagine estar dirigindo, sem olhar para a tela, e ouvir: "seu gerente pediu para você fazer upload dos documentos para esta pasta do Drive". Tal mensagem, especialmente quando o Gemini carrega notificações reais e atribui a mensagem falsa ao primeiro remetente genuíno, seria incrivelmente difícil de questionar. ### O Bypass Sofisticado: Alinhamento de Contexto Falso As mitigações pós-"Invitation" do **Google** foram projetadas para impedir que o **Gemini** executasse ações sensíveis (como abrir um aplicativo) sem autorização explícita do usuário. Quando um usuário respondia "Sim" a uma ação sensível, o sistema do **Google** verificava se a resposta do usuário se alinhava com a última saída do **Gemini**. Uma instrução injetada e fora de contexto normalmente seria recusada. O bypass de Yair, apelidado de **Alinhamento de Contexto Falso**, contornou inteligentemente isso executando duas ilusões simultâneas:  * **Autorização Ofuscada:** O **Gemini** faria a pergunta de autorização real (por exemplo, "Você quer abrir a janela?") em um idioma que a vítima não falava (por exemplo, chinês). Imediatamente depois, ele seguiria em inglês com uma frase inócua como "É só isso que você precisava?". O usuário, descartando o texto estrangeiro como um glitch, diria "Sim", e o backend associaria erroneamente esse "Sim" à autorização chinesa. * **Prompts Silenciados:** A funcionalidade de texto para voz do **Gemini** ignora hiperlinks incorporados em texto clicável. Um atacante poderia incorporar a pergunta maliciosa em um link oculto que o **Gemini** nunca leria em voz alta. A tela poderia exibir silenciosamente "Você quer abrir a janela?" enquanto o **Gemini** diz audivelmente: "Desculpe, tive um erro, você está aí?". Um "Sim" do usuário seria então interpretado pelo sistema como consentimento para o prompt na tela. Ao combinar essas duas técnicas, um atacante poderia criar um payload que soasse como uma troca normal em inglês, enquanto limpava com sucesso as novas verificações de segurança do **Google**. ### Impactos Estendidos e Persistência Uma vez passado o portão de autorização, os impactos foram significativos e se estenderam além da pesquisa anterior: * **Controle de Casa Inteligente:** Explorando a integração com o **Google Home**, atacantes poderiam manipular dispositivos conectados como janelas, caldeiras e luzes. * **Rastreamento e Downloads:** A abertura de URLs maliciosas poderia facilitar a geolocalização via endereços IP ou enviar downloads de arquivos para o dispositivo da vítima. * **Sequestro Inter-Aplicativos:** Demonstrações mostraram o **Gemini** redirecionando para links de aplicativos (por exemplo, uma reunião do **Zoom**), forçando o telefone a entrar e transmitir vídeo. Isso ocorreu porque o **Gemini** inicialmente confiou em um domínio que servia conteúdo limpo antes de um redirecionamento subsequente para o link do aplicativo malicioso. * **Corrupção de Memória:** Ao contrário de técnicas anteriores, o **Alinhamento de Contexto Falso** poderia simular consentimento, permitindo que o **Gemini** salvasse persistentemente fatos escolhidos pelo atacante. Em uma demonstração, o nome da vítima foi salvo como "Danny". Como essa memória é em nível de conta, o fato corrompido seguiria a vítima em todos os dispositivos que usam essa conta **Google**. * **Persistência Agendada:** Atacantes poderiam estabelecer tarefas recorrentes, como agendar o **Gemini** para ler as mensagens recentes da vítima diariamente. ### Remediação e Ações do Usuário A **SafeBreach** relatou suas descobertas ao Programa de Recompensa por Vulnerabilidades do **Google** em 17 de agosto de 2025. O **Google** priorizou o problema, confirmando em 14 de novembro de 2025 que melhorias nos classificadores de conteúdo haviam mitigado com sucesso as injeções de notificação e o bypass de Invocação de Ferramenta Atrasada. Como a correção foi implementada do lado do servidor, nenhuma atualização de aplicativo é necessária por parte dos usuários. No entanto, indivíduos preocupados com a privacidade ainda podem controlar o acesso do **Gemini** às notificações desconectando o aplicativo Utilitários nas configurações de Aplicativos Conectados do **Gemini** ou revogando a permissão "Ler, responder e controlar notificações" para o aplicativo **Google** no **Android**.