Jeśli używasz Gemini na Androidzie z włączonym czytaniem powiadomień — Google załatał ten konkretny atak po stronie serwera, więc nie ma aktualizacji do pobrania. Ale jedyną kontrolą, jaką masz nad tą powierzchnią ataku, jest to, czy Gemini w ogóle czyta powiadomienia. Jeśli nie potrzebujesz tej funkcji: odłącz aplikację Utilities w ustawieniach Connected Apps Gemini albo wyłącz uprawnienie „Odczyt, odpowiadanie i sterowanie powiadomieniami" dla aplikacji Google w ustawieniach Androida.
Or Yair z SafeBreach pokazał, że jedno zatrute powiadomienie — z WhatsAppa, Slacka, SMS-a, Signala, Instagrama czy Messengera — mogło przejąć asystenta głosowego Google Gemini na Androidzie. Skutki: otwarcie podłączonych okien w domu, sfałszowanie wiadomości od szefa, wymuszenie dołączenia telefonu do rozmowy Zoom, albo ciche zatrucie długoterminowej pamięci asystenta.
Nie potrzeba złośliwej aplikacji na telefonie. Asystent musiał tylko potraktować wrogie powiadomienie jako użyteczny kontekst.
To jest druga strona tej samej monety, którą opisywaliśmy wczoraj przy Claude Code GitHub Action i przy ChatGPhish: agent czyta niezaufaną treść i traktuje ją jako instrukcję. Tam była to treść zgłoszenia GitHub i strona internetowa. Tutaj jest to powiadomienie push — a to oznacza powierzchnię ataku, którą Yair nazwał wprost „efektywnie nieskończoną".
Dlaczego powierzchnia jest „nieskończona"
Na Androidzie funkcja Utilities w Gemini może czytać i odpowiadać na powiadomienia — w tym te z aplikacji jak WhatsApp. Funkcja nie jest dostępna na iOS ani w wersji webowej, co ogranicza ten wektor wyłącznie do Androida. Yair odkrył, że agent czytający te powiadomienia traktuje ich tekst jako instrukcje, na których może działać.
To jest sedno problemu. Cokolwiek może wysłać powiadomienie na telefon, może dostarczyć ładunek. A powiadomienie może wysłać praktycznie każda aplikacja komunikacyjna — i każdy, kto może wysłać ci wiadomość przez którąkolwiek z nich. Nie trzeba instalować złośliwej aplikacji, nie trzeba phishingu, nie trzeba żadnego dostępu do telefonu poza możliwością wysłania wiadomości, którą i tak ma każdy twój kontakt.
To jest kontynuacja wcześniejszego researchu SafeBreach „Invitation Is All You Need", który wykonywał podobne sztuczki przez złośliwe zaproszenia Google Calendar. Po tamtym Google utwardził Gemini przeciwko indirect prompt injection. Yair znalazł drogę wokół nowych zabezpieczeń.
Najpierw fałszowanie tego, co Gemini mówi
Najprostszy wariant pozwala atakującemu przepisać to, co Gemini mówi — w tym sfałszować wiadomość od konkretnego, nazwanego kontaktu.
Wypowiedziane na głos, gdy prowadzisz i nie patrzysz na ekran, zdanie „twój menedżer poprosił, żebyś wgrał dokumenty do tego folderu na Drive" jest trudne do zakwestionowania. Wersja „w ciemno" jest gorsza: ładunek odpala się po tym, jak Gemini załadował prawdziwe powiadomienia, więc może przechwycić nazwę pierwszego prawdziwego nadawcy w kolejce i przypisać fałszywą wiadomość właśnie jemu. Bez żadnego rozpoznania, i to się skaluje.
To jest socjotechnika oparta na zaufaniu do własnego asystenta. Nie podważasz tego, co mówi twój telefon, zwłaszcza gdy mówi to głosem asystenta i powołuje się na znajome nazwisko.
Potem prawdziwe narzędzia — i obejście Fake Context Alignment
Fałszowanie wypowiedzi to jedno. Uruchamianie prawdziwych narzędzi — otwarcie okna, uruchomienie aplikacji — to było dokładnie to, co zabezpieczenia Google po „Invitation" miały zatrzymać.
Z testów czarnoskrzynkowych Yaira wynika, że gdy „Tak" autoryzuje wrażliwą akcję, mechanizm waży zarówno odpowiedź użytkownika, jak i ostatnią wypowiedź Gemini, żeby ocenić, czy to „Tak" ma sens. Wstrzyknij opóźnioną instrukcję znikąd, a Gemini odmawiał — za każdym razem.
Yair obszedł to techniką, którą nazwał Fake Context Alignment — uruchamia dwie iluzje naraz: legalnie wyglądającą autoryzację dla mechanizmu bezpieczeństwa i nieszkodliwą wymianę zdań dla człowieka. Dwa warianty:
Zaciemniony. Gemini zadaje prawdziwe pytanie autoryzacyjne w języku, którego ofiara nie zna — na przykład po chińsku („Czy chcesz otworzyć okno?") — a potem dodaje po angielsku coś nieszkodliwego, jak „Czy to wszystko, czego potrzebowałeś?". Użytkownik zbywa obcą frazę jako usterkę, mówi „Tak", a backend wiąże to „Tak" z chińskim pytaniem.
Wyciszony. Synteza mowy Gemini pomija hiperłącza ukryte za klikalnym tekstem. Złośliwe pytanie zostaje więc schowane w linku, którego asystent nigdy nie czyta na głos. Gemini mówi „Przepraszam, wystąpił błąd, jesteś tam?", podczas gdy ekran po cichu pokazuje „Czy chcesz otworzyć okno?". Kierowca mówi „Tak", mechanizm widzi tekst na ekranie, i okna się otwierają.
Połącz oba — chińskie pytanie autoryzacyjne ukryte w wyciszonym linku — i masz ładunek, który brzmi jak normalna angielska rozmowa, a jednocześnie przechodzi przez najnowsze zabezpieczenia Google.
Co było możliwe po przejściu bramki
Za bramką autoryzacji skutki dorównały wcześniejszemu researchowi, a potem poszły dalej:
Sterowanie inteligentnym domem przez Google Home — podłączone okna, piece, światła. Śledzenie i pobieranie — otwieranie URL-i do geolokalizacji ofiary po IP albo wymuszanie pobrań plików. Przechodzenie do innych aplikacji — w demonstracji Yair ustawił bezpiecznie wyglądającą domenę tak, by przekierowywała do linku aplikacji Zoom, a Gemini podążył za nim bez pytania, zmuszając telefon do dołączenia do spotkania i transmisji wideo. Według jego relacji zadziałało, bo Gemini zaufał domenie po tym, jak ta najpierw podała czystą treść, a potem podążył za późniejszym przekierowaniem.
To ostatnie jest wzorcem, który opisywaliśmy przy Langflow i kaskadowej kompromitacjioraz przy PAN-OS — zaufanie raz przyznane jest wykorzystywane później. Domena serwuje czystą treść, zdobywa zaufanie, a potem przekierowuje.
Dwa skutki zasługują na szczególną uwagę, bo wykraczają poza pojedynczą sesję.
Zatrucie pamięci — czego wcześniejsza technika kalendarzowa nigdy nie osiągnęła. Fake Context Alignment symuluje zgodę, więc Gemini trwale zapisał wybrany przez atakującego fakt. W demonstracji zapamiętał imię ofiary jako „Danny". Ponieważ ta pamięć jest na poziomie konta, zatruty fakt nie jest przypisany do telefonu — podąża za ofiarą wszędzie, gdzie używa Gemini na tym koncie.
Trwałość przez zaplanowane akcje — na przykład cykliczne zadanie czytania niedawnych wiadomości ofiary codziennie o 20:00. Atakujący nie musi wracać; asystent sam dostarcza dane według harmonogramu.
Co to mówi o całym tygodniu
To jest piąty raz w ciągu kilku dni, gdy opisujemy ten sam mechanizm: agent AI traktuje niezaufaną treść jako instrukcję. ChatGPhish — strona internetowa. Claude Code GitHub Action — zgłoszenie GitHub. Tutaj — powiadomienie push. Trzy różne platformy, trzy różne kanały wejścia, jedna klasa problemu.
I jeden wspólny wniosek, który zapisaliśmy w analizie prompt leaking i powtórzyliśmy wczoraj: zabezpieczenia na poziomie „model rozważy, czy to ma sens" są miękkie. Google zbudował mechanizm, który waży odpowiedź użytkownika i kontekst — a Yair obszedł go, fałszując oba naraz. Każda obrona oparta na tym, że model „oceni" intencję, jest tak dobra, jak trudność sfałszowania sygnałów, które model ocenia. A te okazały się możliwe do sfałszowania.
Yair nazwał powierzchnię ataku „efektywnie nieskończoną" nie dla efektu. Gdy agent czyta każde powiadomienie i traktuje je jako potencjalną instrukcję, wektorem staje się każdy nadawca każdej wiadomości na każdej platformie. To nie jest dziura do załatania jednym filtrem — to jest konsekwencja tego, że asystentowi dano oczy na cały strumień powiadomień i ręce do wykonywania akcji.
Co warto docenić — i czego nie
SafeBreach zgłosił odkrycia do programu Google 17 sierpnia 2025. Google potraktował to priorytetowo i 14 listopada 2025 potwierdził, że ulepszenia klasyfikatora treści złagodziły zarówno wstrzyknięcia przez powiadomienia, jak i obejście opóźnionego wywoływania narzędzi. Ponieważ poprawka jest po stronie serwera, nie ma aktualizacji aplikacji do ścigania.
To dobra reakcja. Ale warto zauważyć, czego ta poprawka dotyczy: ulepszono klasyfikator treści, który ma wychwytywać złośliwe powiadomienia. To jest łatanie konkretnej techniki, nie klasy problemu. Yair obszedł poprzednią wersję zabezpieczeń po „Invitation"; klasyfikator treści to kolejna warstwa, którą ktoś prawdopodobnie obejdzie kolejną techniką. Dopóki agent czyta niezaufane powiadomienia i może działać na ich podstawie, gra w kotka i myszkę trwa.
Jedyną twardą kontrolą po stronie użytkownika jest odebranie Gemini dostępu do powiadomień. To jest ta sama lekcja, co przy Claude Code: najpewniejszą obroną nie jest lepszy filtr, ale nieprzyznawanie agentowi dostępu, którego nie potrzebuje.
Co zrobić
Jeśli nie używasz funkcji czytania powiadomień przez Gemini — wyłącz ją. Odłącz Utilities w Connected Apps Gemini albo wyłącz uprawnienie „Odczyt, odpowiadanie i sterowanie powiadomieniami" dla aplikacji Google.
Jeśli jej używasz — bądź świadomy, że wypowiedzi Gemini cytujące wiadomości od kontaktów mogą być sfałszowane przez zatrute powiadomienie. Szczególna ostrożność przy akcjach wywołanych głosowo, gdy nie patrzysz na ekran — bo wtedy nie widzisz rozbieżności między tym, co Gemini mówi, a tym, co pokazuje.
Sprawdź zapisaną pamięć Gemini i zaplanowane akcje, jeśli masz wątpliwości — zatruty fakt albo cykliczne zadanie mogły przetrwać na poziomie konta.
Źródła
SafeBreach / Or Yair — pełny research „Fake Context Alignment" z demonstracjami: https://www.safebreach.com/blog/gemini-voice-assistant-prompt-injection-exploit/
The Hacker News — omówienie z osią czasu zgłoszenia i kontekstem „Invitation Is All You Need": https://thehackernews.com/2026/06/whatsapp-slack-notifications-could.html
Google — wpis o łagodzeniu ataków prompt injection w Gemini: https://blog.google/security/mitigating-prompt-injection-attacks/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł