Die Sicherheit smarter Assistenten steht erneut im Fokus. Experten des Cybersicherheitsunternehmens SafeBreach zeigten, wie eine Designschwäche vorliegt in Google Gemini könnte eine harmlose Benachrichtigung in einen mächtigen Angriffsvektor verwandeln. Durch Ausnutzung der Sprachlesefunktion von Nachrichten gelang es ihnen, versteckte Befehle einzuschleusen, die in der Lage waren, die KI zu täuschen und die Privatsphäre zu gefährden Benutzer, ohne dass eine Interaktion ihrerseits erforderlich ist.

Wie könnte eine Benachrichtigung zu einem Trojanischen Pferd werden?

Der Fehler beruhte auf einer Technik, die als „indirekte sofortige Injektion“ bekannt ist. „. Das Prinzip besteht darin, versteckte Anweisungen zu integrieren in Inhalten, die auf den ersten Blick harmlos erscheinen. In diesem konkreten Fall könnten die Angreifer eine Nachricht über WhatsApp, Signal oder Slack senden, die diese versteckten Befehle enthält. Als der Benutzer Gemini aufforderte, seine Benachrichtigungen zu lesen oder zusammenzufassen, interpretierte der Assistent diese Anweisungen als legitime Anweisungen.

Dieser Angriff zielte auf die „Utilities“-Funktionalität ab » von Gemini, speziell für das Android-Ökosystemwodurch die KI mit Benachrichtigungen von Drittanbieter-Apps interagieren kann. Forscher haben gezeigt, dass diese Angriffsfläche war immens, da jede Anwendung, die in der Lage ist, eine Benachrichtigung zu senden, möglicherweise als Einstiegspunkt für einen Angriff dienen könnte, was das System besonders anfällig macht.

Welche möglichen Folgen hätte ein solcher Angriff?

Die von SafeBreach aufgezeigten Szenarien sind besorgniserregend. Angreifer könnten sich als Kontakt ausgebenindem eine Nachricht einer anderen Person als ihrem tatsächlichen Absender zugeordnet wird. Schlimmer noch: Sie könnten über Google Home physische Aktionen auslösenB. die Steuerung motorisierter Fenster oder eines Warmwasserbereiters oder das Starten eines Zoom-Anrufs, um die Umgebung auszuspionieren des Nutzers ohne dessen Wissen.

Die Manipulation hörte hier nicht auf. Forschern ist es auch gelungen, das Gedächtnis zu vergiften langfristige Zwillinge. Falsche Informationen Auf einem Gerät gespeicherte Daten können auf alle anderen Geräte übertragen werden, die bei demselben Google-Konto angemeldet sind. Andere Techniken ermöglichten das Öffnen von URLs zur Geolokalisierung des Opfers über seine IP-Adresse oder zur Planung wiederkehrender Aufgaben.

Ist das Problem dauerhaft gelöst?

Als Google im August 2025 über die Schwachstelle informiert wurde, reagierte es schnell. Im November desselben Jahres bestätigte das Unternehmen, dass es Patches bereitgestellt hatte serverseitig, um identifizierte Angriffsvektoren zu neutralisieren. Daher sind für Benutzer keine Anwendungsaktualisierungen und keine Ausnutzungsfälle erforderlich unter realen Bedingungen wurde bisher nicht berichtet.

Allerdings betonen SafeBreach-Experten, dass das zugrunde liegende Problem weiterhin besteht. Dabei handelt es sich nicht um einen klassischen Fehler, sondern um eine strukturelle Schwäche hängen mit der Funktionsweise von Sprachmodellen zusammen und stellen eine große Herausforderung für die Cybersicherheit dar Künstliche Intelligenzen. Alle externen Daten, beispielsweise eine Benachrichtigung, sollten als potenziell unzuverlässig angesehen werden. Wenn dieser spezifische Fehler behoben wird, sind sie aufgrund der Natur der Agenten-KI künftigen Varianten ausgesetzt dieser Art der Veruntreuung.