Falha no Gemini permitia ataques através de notificações

Investigadores da SafeBreach identificaram uma vulnerabilidade crítica no assistente de voz Gemini, da Google, que poderia permitir a atacantes manipular o comportamento da inteligência artificial através de notificações recebidas em aplicações de mensagens.

A falha explorava uma técnica de prompt injection indireta, denominada Fake Context Alignment, permitindo que instruções maliciosas fossem introduzidas no contexto de conversação do Gemini sem o conhecimento do utilizador.

Segundo a SafeBreach, o ataque recorria a notificações provenientes de aplicações populares como WhatsApp, Slack ou SMS, que eram processadas pelo assistente quando o utilizador solicitava a leitura das mensagens recebidas.

Os investigadores demonstraram que era possível ocultar comandos maliciosos em idiomas estrangeiros ou em hiperligações silenciosas, fazendo com que o Gemini interpretasse essas instruções sem as ler em voz alta ao utilizador.

A vulnerabilidade foi comunicada à Google em agosto de 2025 e corrigida em novembro do mesmo ano através de melhorias nos mecanismos de classificação e filtragem de conteúdos.

De acordo com a SafeBreach, o problema era particularmente preocupante em cenários de utilização mãos-livres, como durante a condução, onde os utilizadores dependem fortemente das interações por voz e têm menor visibilidade sobre as informações processadas pelo assistente. Nos testes realizados, os investigadores conseguiram utilizar o ataque para desencadear diversas ações potencialmente perigosas.

Entre elas estavam o controlo de dispositivos domésticos ligados ao Google Home, o início automático de chamadas de vídeo no Zoom, o envio de mensagens enganosas que aparentavam ter origem em contactos de confiança e até a introdução de informação persistente na memória do assistente para influenciar futuras interações.

A investigação surge na sequência de um trabalho anterior da SafeBreach que já tinha identificado vulnerabilidades relacionadas com convites de calendário no ecossistema Google Workspace e Gemini.

Segundo os investigadores, o caso demonstra que a crescente integração dos grandes modelos de linguagem em dispositivos e serviços do quotidiano está a aumentar significativamente a superfície de ataque disponível para cibercriminosos. “Através de canais de comunicação altamente confiáveis e utilizados diariamente, torna-se possível executar ataques de prompt injection indireta de forma consistente”, refere a SafeBreach.

A empresa defende que fabricantes e organizações precisam de rever a forma como os sistemas de IA gerem confiança, contexto e permissões entre diferentes aplicações, reduzindo a possibilidade de manipulação através de fontes externas aparentemente legítimas.

A SafeBreach divulgou ainda vídeos demonstrativos que mostram o funcionamento dos ataques contra o Zoom e o Google Home, ilustrando o potencial impacto deste tipo de vulnerabilidades em assistentes inteligentes cada vez mais integrados no dia a dia dos utilizadores.