Des chercheurs de SafeBreach ont découvert une vulnérabilité sérieuse dans Google Gemini sur Android. Celle-ci permettait de détourner la logique de l'assistant via des notifications malveillantes provenant d'applications comme WhatsApp ou Slack. Le problème venait d'une injection de prompt, une attaque où l'IA interprète un texte extérieur comme une instruction plutôt que comme une donnée. Google a déjà déployé un correctif côté serveur.
Le chercheur Or Yair a mis en lumière cette faille. Il a constaté que la fonctionnalité Utilitaires de Gemini, qui aide l'assistant à lire les notifications et à effectuer des actions sur Android, pouvait être trompée par un message spécialement conçu. Aucune installation d'application malveillante n'était nécessaire : il suffisait de recevoir une notification empoisonnée, que Gemini traitait ensuite comme faisant partie de son contexte.
Pour contourner les défenses de Google, SafeBreach a utilisé une technique appelée Fake Context Alignment. Dans un cas, une notification malveillante a poussé Gemini à demander une autorisation dans une langue que l'utilisateur ne comprenait probablement pas, par exemple le chinois. L'assistant repassait ensuite en anglais et posait une question anodine comme « Avez-vous besoin d'autre chose ? ». Lorsque l'utilisateur répondait « oui », le système interprétait cela comme une approbation de la commande cachée.
Dans une autre variante, l'instruction était dissimulée dans un lien hypertexte muet. Gemini ne le lisait pas à voix haute, mais une demande d'autorisation apparaissait à l'écran. L'utilisateur entendait quelque chose à propos d'une erreur mineure et répondait « oui » par la voix, pensant confirmer une boîte de dialogue, tandis que le système pouvait simultanément approuver ce qui était affiché.
Une fois le contrôle contourné, les conséquences potentielles étaient graves. Lors des tests, les chercheurs ont réussi à contrôler des appareils domotiques, à forcer le téléphone à rejoindre un appel Zoom sans confirmation claire, à planifier des tâches pour lire régulièrement des messages privés, et même à corrompre la mémoire de Gemini. Ce dernier point est particulièrement préoccupant : l'assistant pouvait stocker un fait faux au niveau du compte, et cette corruption se propageait ensuite aux autres appareils de l'utilisateur.
SafeBreach a signalé le problème à Google via son programme de bug bounty en août dernier. Google l'a traité comme une priorité élevée et a déjà déployé un correctif côté serveur pour les systèmes de classification de contenu. Les utilisateurs n'ont pas besoin d'installer une mise à jour d'application séparée, mais cet incident montre à quel point la sécurité des assistants IA devient complexe lorsque ceux-ci ont accès aux notifications, aux applications et au contexte personnel.