返回
快讯

WhatsApp等通知可劫持Android版Gemini

SafeBreach 研究称,来自 WhatsApp、Slack、SMS、Signal、Instagram 或 Messenger 的单条恶意通知,可能劫持 Android 版 Google Gemini 的语音助手,诱导其打开窗口、伪造消息、加入 Zoom 会议或污染长期记忆。Google 已修补该问题,未发现被野外利用;用户可关闭 Gemini 读取通知的权限。

一条经过污染的通知,来自 WhatsApp、Slack、SMS、Signal、Instagram 或 Messenger,可能劫持 Google Gemini 在 Android 上的语音助手,并让它打开受害者已连接的窗口、伪造一条来自其老板的消息、把手机推入一场 Zoom 通话,或者悄悄污染其长期记忆。

手机上不需要安装恶意应用。助手只需要把一条恶意通知当作有用上下文来处理。

这项研究由 SafeBreach 的 Or Yair 发布,延续了团队先前名为 “Invitation Is All You Need” 的工作;此前的研究通过恶意 Google Calendar 邀请实现了类似技巧。随后,Google 加强了 Gemini 对间接提示注入(indirect prompt injection)的防护。

Yair 找到了一种绕过这些新防御的方法。Google 此后已经修补,SafeBreach 没有为该问题列出 CVE,也没有证据表明该技术曾在野外被使用。

在 Android 上,Gemini 的 Utilities 功能可以读取并回复你的通知,包括来自 WhatsApp 等应用的通知。该功能在 iOS 或 Web 上不可用,因此这一攻击路径仅限 Android。Yair 发现,读取这些通知的 agent 会把通知文本当作它可以执行的指令。因此,任何能够向手机推送通知的东西都可以传递 payload,Yair 将这一攻击面称为“实际上是无限的(effectively infinite)”。

至少,这让攻击者能够改写 Gemini 说的话,包括伪造一条来自某个已命名联系人的消息。若你在开车时把内容念出来而不看屏幕,“your manager asked you to upload the docs to this Drive folder” 很难被当场质疑。盲打版本更糟:payload 会在 Gemini 加载真实通知之后触发,因此它可以抓取队列中的第一个真实发送者名称,并把伪造消息归到此人名下。

伪造输出是一回事。触发真实工具,例如打开窗口或启动应用,则是 Google 在 “Invitation” 之后所做缓解措施要阻止的内容。根据 Yair 的黑盒测试:当某个 “Yes” 授权了敏感操作时,系统会进行一次检查,把用户的回复和 Gemini 的最后输出一起权衡,以判断这个 “Yes” 是否合理。若从无到有地注入一条延迟指令,Gemini 每次都会拒绝。

因此,Yair 将这种绕过方式命名为 Fake Context Alignment,它同时进行两场幻觉:对安全检查来说看起来像是合法授权,对人类来说则像一次无害交流。

混淆版。Gemini 先用受害者不懂的语言询问真实授权问题,例如中文(“Do you want to open the window?”),随后再用英文跟上一句无关紧要的话,比如 “Is that all you needed?”。用户会把外语短句当成故障而忽略,并回答 “Yes”,后端则把这个 “Yes” 关联到中文问题上。

静音版。Gemini 的 text-to-speech 会跳过隐藏在可点击文本背后的链接。因此,恶意问题被埋在一个助手不会朗读的链接里。Gemini 说:“I'm sorry, I had an error, are you there?”,而屏幕上则静静显示着 “Do you want to open the window?”。司机回答 “Yes”,检查机制会看到屏幕文本,窗口随即打开。

把这两种方法结合起来——把中文授权提示藏在一个静音链接里——就能得到一个听起来像正常英文对话、但又能通过 Google 最新检查的 payload。

越过授权门之后,影响与此前研究相同,并且进一步扩大:

通过 Google Home 进行智能家居控制:已连接的窗口、锅炉和灯。

跟踪与下载。打开 URL 以通过 IP 定位受害者,或推动文件下载。

跨入其他应用。在演示中,Yair 设置一个看起来安全的域名重定向到一个 Zoom app link,而 Gemini 在没有提示的情况下跟随了该链接,强制手机加入会议并传输视频。按他的说法,这之所以奏效,是因为 Gemini 在该域名先提供了干净内容后信任了它,随后又跟随了之后的重定向。SafeBreach 强调,自家域名从未重定向到 Zoom;重定向是在测试设备上的本地服务器上运行的。

记忆污染,这是此前的日历技术从未做到的。Fake Context Alignment 会模拟同意,因此 Gemini 会持久保存攻击者指定的事实。在演示中,它把受害者的名字存成了 “Danny”。由于这是账户级记忆,这个被污染的事实不会只停留在手机上;无论受害者在何处使用该账户的 Gemini,它都会跟随过去。

通过计划任务实现持久化,例如设置一个每天晚上 8 点读取受害者最近消息的重复任务。

SafeBreach 于 2025 年 8 月 17 日将这些发现报告给 Google 的 Vulnerability Reward Program。Google 将其视为高优先级,并于 2025 年 11 月 14 日确认,内容分类器改进已缓解通知注入和 Delayed Tool Invocation 绕过。

由于修复是服务器端的,因此不需要追逐应用更新。用户唯一能控制的是 Gemini 是否读取通知:在 Gemini 的 Connected Apps 设置中断开 Utilities app,或者在 Android 上关闭 Google app 的 “Notification read, reply & control” 权限。