Android版Google Geminiにおいて、WhatsAppやSlackなどのアプリからの細工された通知により、AIの応答や接続されたツールが操作される脆弱性が発見されました。この問題はSafeBreachによって報告され、サーバー側の変更によって対処済みです。
SafeBreachの研究者は、Android版Geminiがスマートフォンの通知を読み取り応答する「Utilities」機能をテスト中にこの欠陥を特定しました。この問題により、WhatsApp、Slack、SMS、Signal、Instagram、Messengerなどのメッセージング・SNSアプリからの通知を利用したプロンプトインジェクション攻撃が可能となっていました。「Fake Context Alignment」と呼ばれるこの手法は、セキュリティチェックを回避する二重のシナリオを作成するものです。一つはGeminiに対しては正当なものに見せかけつつ、もう一つはユーザーに対して無害な内容を表示させるというものでした。SafeBreachのセキュリティリサーチチームリーダーであるOr Yair氏は、6月3日にこの調査結果を公開しました。Googleはサーバー側のコンテンツ分類機能を改善することでこの問題を解決しました。実際に悪用された証拠は見つかっておらず、ユーザーによるアプリの更新も不要です。研究者によると、この攻撃を実行するためにデバイス上に悪意のあるアプリをインストールする必要はありませんでした。ユーザーはGeminiのUtilities機能、またはGoogleアプリの通知権限を無効にすることでリスクを軽減できます。今回の発見は、過去に行われた同AIに対するカレンダーベースの攻撃に関する研究に続くものです。
