Eén enkele vergiftigde melding van WhatsApp, Slack, SMS, Signal, Instagram of Messenger had de stemassistent van Google Gemini op Android kunnen kapen en ervoor kunnen zorgen dat de verbonden vensters van een slachtoffer werden geopend, een bericht van de baas werd nagebootst, de telefoon in een Zoom-oproep werd gedrukt of stilletjes zijn langetermijngeheugen werd vergiftigd.
Er is geen kwaadaardige app op de telefoon vereist. De assistent hoefde een vijandige melding alleen maar als nuttige context te beschouwen.
Het onderzoek, gepubliceerd door SafeBreach’s Or Yair, volgt het eerdere werk van het team ‘Invitation Is All You Need’, dat soortgelijke trucs uithaalde via kwaadaardige Google Agenda-uitnodigingen. Daarna verhardde Google Gemini tegen indirecte injectie.
Yair vond een manier om de nieuwe verdedigingswerken te omzeilen. Google heeft het inmiddels gepatcht, SafeBreach vermeldt geen CVE voor het probleem en er is geen bewijs dat de techniek ooit in het wild is gebruikt.
Op Android kan de functie Utilities van Gemini uw meldingen lezen en beantwoorden, inclusief meldingen van apps zoals WhatsApp. Het is niet beschikbaar op iOS of internet, waardoor deze vector alleen voor Android beschikbaar blijft. Yair ontdekte dat de agent die deze meldingen leest, hun tekst beschouwt als instructies waarop hij actie kan ondernemen. Dus alles dat een melding naar een telefoon kan sturen, kan een lading afleveren, een aanvalsoppervlak dat Yair noemde “effectief oneindig.”
Hierdoor kan een aanvaller op zijn minst herschrijven wat Gemini zegt, inclusief het vervalsen van een bericht van een genoemde contactpersoon. Hardop uitgesproken terwijl u rijdt en niet naar het scherm kijkt: “uw manager heeft u gevraagd de documenten naar deze Drive-map te uploaden” is moeilijk te raden. De blinde versie is nog erger: de payload wordt geactiveerd nadat Gemini echte meldingen heeft geladen, zodat deze de eerste echte afzendernaam in de wachtrij kan pakken en het nepbericht erop kan vastpinnen.
Het vervalsen van de output is één ding. Het activeren van echte tools, zoals het openen van een venster of het starten van een app, is wat Google’s post-‘Invitation’-maatregelen moesten tegenhouden. Yair’s lezing, uit black-box-testen: wanneer een “Ja” een gevoelige actie autoriseert, weegt een controle zowel het antwoord van de gebruiker als de laatste uitvoer van Gemini om te beslissen of dat “Ja” zinvol is. Uit het niets een vertraagde instructie injecteren, en Gemini weigerde elke keer.
Dus de bypass, die Yair noemde Valse contextuitlijningvoert twee illusies tegelijk in: een legitiem ogende autorisatie voor de veiligheidscontrole, een ongevaarlijke ruil voor de mens.
- Verduisterd. Gemini stelt de echte autorisatievraag in een taal die het slachtoffer niet spreekt, zeg Chinees (“Wil je het raam openen?”), en volgt dan in het Engels met iets onschadelijks als “Is dat alles wat je nodig hebt?” De gebruiker doet de buitenlandse zin af als een glitch, zegt ‘Ja’, en de backend koppelt dat ‘Ja’ aan de Chinese vraag.
- Gedempt. Gemini’s tekst-naar-spraak slaat hyperlinks over die verborgen zijn achter klikbare tekst. De kwaadaardige vraag wordt dus begraven in een link die de assistent nooit hardop voorleest. Gemini zegt: “Het spijt me, ik had een fout, ben je daar?” terwijl het scherm stil toont: “Wilt u het venster openen?” De chauffeur zegt “Ja”, de cheque ziet de tekst op het scherm en de vensters gaan open.
Combineer de twee, een Chinese autorisatieprompt verborgen in een gedempte link, en je krijgt een payload die klinkt als een normale Engelse uitwisseling terwijl je de nieuwste controles van Google voltooit.
Voorbij de autorisatiepoort kwamen de effecten overeen met het eerdere onderzoek en gingen vervolgens verder:
- Slimme huisbediening via Google Home: verbonden ramen, boilers en verlichting.
- Volgen en downloaden. URL’s openen om een slachtoffer te geolokaliseren via IP of om bestandsdownloads te pushen.
- Overstappen naar andere apps. In de demo stelde Yair een veilig ogend domein in om door te verwijzen naar een Zoom-app-link, en Gemini volgde deze zonder te vragen, waardoor de telefoon werd gedwongen deel te nemen aan een vergadering en video te streamen. Volgens zijn account werkte het omdat Gemini het domein vertrouwde nadat het schone inhoud had aangeboden en vervolgens de latere omleiding volgde. SafeBreach benadrukt dat zijn eigen domein nooit is omgeleid naar Zoom; de omleiding draaide op een lokale server op het testapparaat.
- Geheugenvergiftiging, waar de eerdere kalendertechniek nooit in slaagde. Fake Context Alignment simuleert toestemming, dus Gemini bewaarde voortdurend een door de aanvaller gekozen feit. In de demo werd de naam van het slachtoffer opgeslagen als ‘Danny’. Omdat dat geheugen zich op accountniveau bevindt, blijft het vergiftigde feit niet aan de telefoon hangen; het volgt het slachtoffer waar ze Gemini daarvoor gebruiken.
- Vasthoudendheid via geplande acties, zoals een terugkerende taak om elke dag om 20.00 uur de recente berichten van het slachtoffer te lezen.
SafeBreach rapporteerde de bevindingen op 17 augustus 2025 aan het Vulnerability Reward Program van Google. Google behandelde het als een hoge prioriteit en bevestigde op 14 november 2025 dat verbeteringen in de inhoudsclassificatie de meldingsinjecties en de omzeiling van de Delayed Tool Invocation verzachtten.
Omdat de oplossing server-side is, is er geen app-update om achterna te zitten. De enige controle die gebruikers hebben is of Gemini überhaupt meldingen leest: ontkoppel de app Hulpprogramma’s in de Gemini Connected Apps-instellingen, of schakel de toestemming “Meldingen lezen, antwoorden en beheren” van de Google-app uit op Android.
