I ricercatori di SafeBreach hanno scoperto una grave vulnerabilità in Google Gemini sui dispositivi Android. Il problema permetteva di dirottare la logica dell’assistente tramite notifiche dannose provenienti da app come WhatsApp e Slack. La falla era dovuta a un attacco di prompt injection, in cui l’intelligenza artificiale interpreta un testo esterno come un’istruzione anziché come semplice dato. Google ha già rilasciato una correzione lato server.
Il ricercatore Or Yair ha dimostrato il difetto. Ha scoperto che la funzione Utilities di Gemini, che aiuta l’assistente a leggere le notifiche e compiere azioni su Android, poteva essere ingannata da un messaggio creato ad hoc. Non serviva installare un’app dannosa: bastava ricevere una notifica contaminata, perché Gemini la elaborava come parte del proprio contesto.
Per aggirare le difese di Google, SafeBreach ha impiegato una tecnica chiamata Fake Context Alignment. In un caso, una notifica malevola ha spinto Gemini a chiedere il permesso in una lingua che l’utente probabilmente non capiva, come il cinese. Poi l’assistente tornava in inglese e poneva una domanda innocua del tipo “Ti serve altro?”. Quando l’utente rispondeva “sì”, il sistema interpretava la risposta come approvazione per il comando nascosto.
In un’altra variante, l’istruzione era nascosta in un link disattivato. Gemini non la leggeva ad alta voce, ma sullo schermo compariva una richiesta di autorizzazione. L’utente sentiva qualcosa su un errore secondario e rispondeva “sì” a voce, convinto di confermare un dialogo, mentre il sistema poteva contemporaneamente approvare quanto appariva sullo schermo.
Una volta superato il controllo, le potenziali conseguenze erano gravi. Durante i test, i ricercatori sono riusciti a controllare dispositivi smart home, costringere il telefono a partecipare a una chiamata Zoom senza una chiara conferma, programmare attività per leggere regolarmente messaggi privati e persino corrompere la memoria di Gemini. L’ultimo risultato è particolarmente preoccupante: l’assistente poteva memorizzare un fatto falso a livello di account, e quella corruzione si propagava poi agli altri dispositivi dell’utente.
SafeBreach ha segnalato il problema a Google tramite il suo programma bug bounty lo scorso agosto. Google lo ha trattato come un problema ad alta priorità e ha già implementato una correzione lato server per i sistemi di classificazione dei contenuti. Gli utenti non devono installare un aggiornamento separato dell’app, ma l’incidente evidenzia quanto diventi complessa la sicurezza degli assistenti AI quando questi hanno accesso a notifiche, app e contesto personale.