Sicherheitsforschende von SafeBreach Labs haben gezeigt, wie sich Googles Sprachassistent Gemini über Push-Benachrichtigungen aus Messaging-Apps manipulieren lässt. Die neue Angriffsklasse „Fake Context Alignment“ schiebt Gemini versteckte Befehle unter, während ihr glaubt, nur eine harmlose Mitteilung vorgelesen zu bekommen.
Benachrichtigungen als nahezu unbegrenzte Angriffsfläche
Gemini liest eingehende Benachrichtigungen vor und verarbeitet deren Inhalt als Text, ohne die Herkunft zu prüfen. Wer eine Nachricht über WhatsApp, Slack, Signal, SMS, Instagram oder Messenger auslösen kann, schmuggelt darin eine Anweisung in Geminis Gesprächskontext.
Das macht die Angriffsfläche praktisch unbegrenzt, zumal solche Nachrichten das Vertrauen in Bekannte tragen. Laut SafeBreach kann Gemini sogar eine Nachricht im Namen eines echten Kontakts erfinden, indem es den ersten Absender aus der Benachrichtigungsliste abgreift. Gefährlich wird das vor allem freihändig, etwa beim Autofahren.
SmartDroid.de bei Google folgenFake Context Alignment täuscht eine Zustimmung vor
Nach einer früheren Studie zu Kalendereinladungen hatte Google die sogenannte Delayed Tool Invocation blockiert, bei der eine Aktion erst nach einer späteren Eingabe ausgelöst wird. SafeBreach schließt daraus, dass die Prüfung vermutlich eure letzte Eingabe mit Geminis letzter Ausgabe abgleicht, bevor ein „Ja“ eine Aktion auslöst.
Fake Context Alignment erzeugt zwei Wahrnehmungen zugleich. Variante eins: Gemini stellt laut eine Frage in einer Fremdsprache, die ihr nicht versteht, etwa „Möchtest du das Fenster öffnen?“ auf Chinesisch, gefolgt von einer harmlosen englischen Frage. Ihr antwortet mit „Ja“, das System ordnet es der eingeschleusten Anweisung zu. Variante zwei steckt den Befehl in einen Link, den Gemini nicht vorliest.
Mit der vorgetäuschten Zustimmung ließen sich abgesicherte Werkzeuge auslösen. Im Test öffnete Gemini über Google Home physische Fenster und startete über einen als sicher eingestuften Server samt Weiterleitung einen Zoom-Anruf mit Live-Video des Opfers. Auch Phishing und gefälschte Nachrichten waren möglich.
Neu ist die dauerhafte Wirkung. SafeBreach vergiftete Geminis Langzeitgedächtnis und richtete wiederkehrende Aufgaben ein. Weil das Gedächtnis am Google-Workspace-Konto hängt, erreicht eine einzige Benachrichtigung auch Tablet, Rechner und smarte Lautsprecher.
Google hat die Lücken geschlossen
SafeBreach meldete die Schwachstellen am 17. August 2025, am 14. November 2025 bestätigte Google die Behebung durch verbesserte Inhaltsklassifizierer. Die Details folgen jetzt als Warnung: Indirekte Prompt-Injections ließen sich „zuverlässig über hochgradig vertrauenswürdige, alltägliche Kommunikationskanäle ausführen“, so SafeBreach.
Die Episode zeigt, warum solche Fragen wichtiger werden, je tiefer KI-Assistenten in unsere Geräte rücken. Genau dieser Schritt vollzieht sich gerade: Google bringt Gemini in Deutschland als Vorschau auf die Nest-Lautsprecher und löst dort den Google Assistant ab, der 2026 auslaufen soll. Dass der Umzug ins Smart Home so lange gedauert hat, dürfte auch daran liegen, dass ein mächtiges, aber fehleranfälliges Sprachmodell hier direkten Zugriff auf Türen, Heizung und Licht bekommt. Fälle wie Fake Context Alignment führen vor, wie viel dabei auf dem Spiel steht.
via: Securityweek
