Une vulnérabilité présente dans Google Gemini sur Android permettait à des notifications conçues à cet effet, provenant d'applications comme WhatsApp et Slack, de manipuler les réponses de l'IA et ses outils connectés. Le problème, découvert par SafeBreach, a été résolu par des modifications côté serveur.
Les chercheurs de SafeBreach ont identifié cette faille en testant la fonctionnalité Utilities de Gemini sur Android, qui lit et répond aux notifications du téléphone. Le problème permettait des attaques par injection de requêtes en utilisant des alertes provenant d'applications de messagerie et de réseaux sociaux, notamment WhatsApp, Slack, SMS, Signal, Instagram et Messenger. La technique, appelée Fake Context Alignment, créait des scénarios doubles qui contournaient les contrôles de sécurité. L'un apparaissait légitime aux yeux de Gemini tout en présentant une version inoffensive à l'utilisateur. Or Yair, responsable de l'équipe de recherche en sécurité chez SafeBreach, a publié ces conclusions le 3 juin. Google a résolu le problème grâce à des améliorations du classificateur de contenu côté serveur. Aucune preuve d'exploitation réelle n'a été trouvée et aucune mise à jour d'application n'a été nécessaire pour les utilisateurs. Les chercheurs ont noté que l'attaque ne nécessitait pas d'application malveillante sur l'appareil. Les utilisateurs peuvent réduire les risques en désactivant la fonctionnalité Utilities de Gemini ou les autorisations de notification de l'application Google. Cette découverte fait suite à des recherches antérieures sur des attaques basées sur le calendrier visant l'IA.
