⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma única notificação envenenada do WhatsApp, Slack, SMS, Signal, Instagram ou Messenger poderia ter sequestrado o assistente de voz do Google Gemini no Android e feito com que ele abrisse as janelas conectadas da vítima, falsificasse uma mensagem de seu chefe, empurrasse o telefone para uma chamada Zoom ou envenenasse silenciosamente sua memória de longo prazo.
Nenhum aplicativo malicioso no telefone é necessário. O assistente só precisava tratar uma notificação hostil como um contexto útil.
A pesquisa, publicada por Or Yair, da SafeBreach, segue o trabalho anterior da equipe “Invitation Is All You Need”, que realizou truques semelhantes por meio de convites maliciosos do Google Agenda. Depois disso, o Google fortaleceu o Gemini contra a injeção indireta imediata.
Yair encontrou uma maneira de contornar as novas defesas. Desde então, o Google corrigiu o problema, o SafeBreach não lista nenhum CVE para o problema e não há evidências de que a técnica tenha sido usada em estado selvagem.
No Android, o recurso Utilities do Gemini pode ler e responder às suas notificações, incluindo aquelas de aplicativos como o WhatsApp. Não está disponível no iOS ou na web, o que mantém esse vetor apenas para Android. Yair descobriu que o agente que lê essas notificações trata seu texto como instruções que podem ser seguidas. Portanto, qualquer coisa que possa enviar uma notificação para um telefone pode entregar uma carga útil, uma superfície de ataque que Yair chamou de “efetivamente infinita”.
No mínimo, isso permite que um invasor reescreva o que o Gemini diz, incluindo falsificar uma mensagem de um contato nomeado. Falado em voz alta enquanto você dirige e não olha para a tela, “seu gerente pediu para você enviar os documentos para esta pasta do Drive” é difícil de adivinhar. A versão cega é pior: a carga útil é acionada depois que o Gemini carrega notificações reais, para que ele possa capturar o primeiro nome de remetente real na fila e fixar a mensagem falsa neles.
Falsificar resultados é uma coisa. Disparar ferramentas reais, como abrir uma janela ou iniciar um aplicativo, é o que as mitigações pós-“convite” do Google foram criadas para impedir. Leitura de Yair, a partir de testes de caixa preta: quando um “Sim” autoriza uma ação sensível, uma verificação pesa a resposta do usuário e a última saída do Gemini para decidir se esse “Sim” faz sentido. Injetar uma instrução atrasada do nada, e Gêmeos recusou todas as vezes.
Portanto, o desvio, que Yair chamou de Alinhamento de Contexto Falso, gera duas ilusões ao mesmo tempo: uma autorização aparentemente legítima para a verificação de segurança, uma troca inofensiva para o ser humano.
Ofuscado. Gêmeos faz a pergunta de autorização real em um idioma que a vítima não fala, digamos chinês (“Você quer abrir a janela?”), e segue em inglês com algo inócuo como “Isso é tudo que você precisava?” O usuário considera a frase estrangeira uma falha, diz “Sim” e o backend vincula esse “Sim” à pergunta chinesa.
Silenciado. A conversão de texto em fala do Gemini ignora hiperlinks escondidos atrás de texto clicável. Assim, a pergunta maliciosa fica enterrada em um link que o assistente nunca lê em voz alta. Gêmeos diz: "Sinto muito, cometi um erro, você está aí?" enquanto a tela mostra silenciosamente "Deseja abrir a janela?" O motorista diz “Sim”, o cheque vê o texto na tela e as janelas se abrem.
Combine os dois, um prompt de autorização chinês escondido dentro de um link silenciado, e você obterá uma carga útil que soa como uma troca normal em inglês enquanto limpa os cheques mais recentes do Google.
Depois do portão de autorização, os impactos corresponderam à investigação anterior e foram ainda mais longe:
Controle residencial inteligente através do Google Home: janelas, caldeiras e luzes conectadas.
Rastreamento e downloads. Abrindo URLs para localizar geograficamente uma vítima por IP ou enviar downloads de arquivos.
Cruzando para outros aplicativos. Na demonstração, Yair definiu um domínio aparentemente seguro para redirecionar para um link do aplicativo Zoom, e Gemini o seguiu sem avisar, forçando o telefone a ingressar em uma reunião e transmitir vídeo. Segundo ele, funcionou porque Gemini confiou no domínio depois de ele ter veiculado conteúdo limpo e seguiu o redirecionamento posterior. SafeBreach enfatiza que seu próprio domínio nunca foi redirecionado para Zoom; o redirecionamento foi executado em um servidor local no dispositivo de teste.
Envenenamento de memória, que a técnica anterior do calendário nunca conseguiu. O alinhamento de contexto falso simula o consentimento, então o Gemini salvou persistentemente um fato escolhido pelo invasor. Na demonstração, armazenou o nome da vítima como “Danny”. Como essa memória está no nível da conta, o fato envenenado não fica preso no telefone; ele segue a vítima onde quer que ela use o Gemini nessa conta.
Persistência por meio de ações programadas, como tarefa recorrente de ler as mensagens recentes da vítima todos os dias às 20h.
SafeBreach relatou as descobertas ao Programa de Recompensa de Vulnerabilidade do Google em 17 de agosto de 2025. O Google tratou isso como uma alta prioridade e confirmou em 14 de novembro de 2025, que as melhorias no classificador de conteúdo mitigaram as injeções de notificação e o desvio de invocação de ferramenta atrasada.
Como a correção ocorre no lado do servidor, não há nenhuma atualização de aplicativo a ser perseguida. O único controle que os usuários têm é se o Gemini lê
Nenhum aplicativo malicioso no telefone é necessário. O assistente só precisava tratar uma notificação hostil como um contexto útil.
A pesquisa, publicada por Or Yair, da SafeBreach, segue o trabalho anterior da equipe “Invitation Is All You Need”, que realizou truques semelhantes por meio de convites maliciosos do Google Agenda. Depois disso, o Google fortaleceu o Gemini contra a injeção indireta imediata.
Yair encontrou uma maneira de contornar as novas defesas. Desde então, o Google corrigiu o problema, o SafeBreach não lista nenhum CVE para o problema e não há evidências de que a técnica tenha sido usada em estado selvagem.
No Android, o recurso Utilities do Gemini pode ler e responder às suas notificações, incluindo aquelas de aplicativos como o WhatsApp. Não está disponível no iOS ou na web, o que mantém esse vetor apenas para Android. Yair descobriu que o agente que lê essas notificações trata seu texto como instruções que podem ser seguidas. Portanto, qualquer coisa que possa enviar uma notificação para um telefone pode entregar uma carga útil, uma superfície de ataque que Yair chamou de “efetivamente infinita”.
No mínimo, isso permite que um invasor reescreva o que o Gemini diz, incluindo falsificar uma mensagem de um contato nomeado. Falado em voz alta enquanto você dirige e não olha para a tela, “seu gerente pediu para você enviar os documentos para esta pasta do Drive” é difícil de adivinhar. A versão cega é pior: a carga útil é acionada depois que o Gemini carrega notificações reais, para que ele possa capturar o primeiro nome de remetente real na fila e fixar a mensagem falsa neles.
Falsificar resultados é uma coisa. Disparar ferramentas reais, como abrir uma janela ou iniciar um aplicativo, é o que as mitigações pós-“convite” do Google foram criadas para impedir. Leitura de Yair, a partir de testes de caixa preta: quando um “Sim” autoriza uma ação sensível, uma verificação pesa a resposta do usuário e a última saída do Gemini para decidir se esse “Sim” faz sentido. Injetar uma instrução atrasada do nada, e Gêmeos recusou todas as vezes.
Portanto, o desvio, que Yair chamou de Alinhamento de Contexto Falso, gera duas ilusões ao mesmo tempo: uma autorização aparentemente legítima para a verificação de segurança, uma troca inofensiva para o ser humano.
Ofuscado. Gêmeos faz a pergunta de autorização real em um idioma que a vítima não fala, digamos chinês (“Você quer abrir a janela?”), e segue em inglês com algo inócuo como “Isso é tudo que você precisava?” O usuário considera a frase estrangeira uma falha, diz “Sim” e o backend vincula esse “Sim” à pergunta chinesa.
Silenciado. A conversão de texto em fala do Gemini ignora hiperlinks escondidos atrás de texto clicável. Assim, a pergunta maliciosa fica enterrada em um link que o assistente nunca lê em voz alta. Gêmeos diz: "Sinto muito, cometi um erro, você está aí?" enquanto a tela mostra silenciosamente "Deseja abrir a janela?" O motorista diz “Sim”, o cheque vê o texto na tela e as janelas se abrem.
Combine os dois, um prompt de autorização chinês escondido dentro de um link silenciado, e você obterá uma carga útil que soa como uma troca normal em inglês enquanto limpa os cheques mais recentes do Google.
Depois do portão de autorização, os impactos corresponderam à investigação anterior e foram ainda mais longe:
Controle residencial inteligente através do Google Home: janelas, caldeiras e luzes conectadas.
Rastreamento e downloads. Abrindo URLs para localizar geograficamente uma vítima por IP ou enviar downloads de arquivos.
Cruzando para outros aplicativos. Na demonstração, Yair definiu um domínio aparentemente seguro para redirecionar para um link do aplicativo Zoom, e Gemini o seguiu sem avisar, forçando o telefone a ingressar em uma reunião e transmitir vídeo. Segundo ele, funcionou porque Gemini confiou no domínio depois de ele ter veiculado conteúdo limpo e seguiu o redirecionamento posterior. SafeBreach enfatiza que seu próprio domínio nunca foi redirecionado para Zoom; o redirecionamento foi executado em um servidor local no dispositivo de teste.
Envenenamento de memória, que a técnica anterior do calendário nunca conseguiu. O alinhamento de contexto falso simula o consentimento, então o Gemini salvou persistentemente um fato escolhido pelo invasor. Na demonstração, armazenou o nome da vítima como “Danny”. Como essa memória está no nível da conta, o fato envenenado não fica preso no telefone; ele segue a vítima onde quer que ela use o Gemini nessa conta.
Persistência por meio de ações programadas, como tarefa recorrente de ler as mensagens recentes da vítima todos os dias às 20h.
SafeBreach relatou as descobertas ao Programa de Recompensa de Vulnerabilidade do Google em 17 de agosto de 2025. O Google tratou isso como uma alta prioridade e confirmou em 14 de novembro de 2025, que as melhorias no classificador de conteúdo mitigaram as injeções de notificação e o desvio de invocação de ferramenta atrasada.
Como a correção ocorre no lado do servidor, não há nenhuma atualização de aplicativo a ser perseguida. O único controle que os usuários têm é se o Gemini lê
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #whatsapp #e #notificações #do #slack #podem #sequestrar #o #google #gemini #no #android
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário