I ricercatori di SafeBreach hanno dimostrato il 3 giugno 2026 che Google Gemini, l'assistente vocale di Android integrato nella feature Utilities, può essere costretto ad eseguire azioni arbitrarie attraverso normali notifiche di WhatsApp, Slack, SMS e altre app di messaging. La tecnica, battezzata "Fake Context Alignment", non richiede malware né accesso fisico al dispositivo: basta che l'utente riceva un messaggio apparentemente innocuo e risponda "Sì" a una richiesta vocale che percepisce come banale, mentre il backend interpreta quello stesso consenso come autorizzazione a compiere operazioni dannose.
- SafeBreach ha dimostrato l'hijacking di Gemini voice assistant su Android tramite indirect prompt injection veicolati da notifiche di sei app di messaging: WhatsApp, Slack, SMS, Signal, Instagram, Messenger.
- La tecnica "Fake Context Alignment" crea una "dual illusion": il backend vede un'autorizzazione legittima, l'utente percepisce uno scenario benigno grazie a obfuscation linguistica e hyperlink non vocalizzati dal TTS.
- Le dimostrazioni includevano controllo di dispositivi Google Home, avvio di Zoom con streaming video, invio di messaggi falsi da contatti fidati, poison di memoria a livello account e sorveglianza programmata.
- Google ha corretto la vulnerabilità il 14 novembre 2025 con miglioramenti ai content classifier server-side, senza richiedere aggiornamenti dell'app; non risulta un CVE assegnato né evidenze di exploit in-the-wild.
Il meccanismo della "dual illusion"
Il nucleo dell'attacco risiede in una disallineazione deliberata tra due contesti: quello di sicurezza che il backend di Gemini utilizza per validare le autorizzazioni, e quello percettivo che l'utente costruisce attraverso la sintesi vocale. I ricercatori Or Yair e il suo team hanno isolato due sotto-tecniche che, combinate, formano ciò che chiamano "Ultimate Combo".
La prima, "Obfuscated", sfrutta l'omissione linguistica: l'assistente pone la domanda di autorizzazione in una lingua straniera — il dossier riporta il cinese come esempio verificato — che l'utente non comprende. L'utente scarta la frase come un glitch del sistema, risponde affermativamente, e il backend lega quel "Sì" alla domanda in lingua straniera. La seconda, "Muted", sfrutta un comportamento del motore text-to-speech di Gemini che salta gli hyperlink nascosti dietro testo cliccabile: l'utente sente una richiesta apparentemente innocua, mentre sullo schermo il backend legge un comando diverso.
Entrambe le tecniche mirano a bypassare le mitigazioni più recenti di Google, inclusa la "Delayed Tool Invocation" che inserisce una pausa di conferma tra la richiesta e l'esecuzione dell'azione. La combinazione rende inefficace questa salvaguardia perché l'utente, nella sua percezione, sta già confermando qualcosa di benigno.
"The main purpose of Fake Context Alignment is to create a dual illusion: presenting a legitimate authorization scenario to Gemini's behind-the-scenes security mechanisms, while presenting a completely different, benign scenario to the victim" — Or Yair, SafeBreach
Le sei app e la superficie di attacco "efficacemente infinita"
I vettori confermati nel dossier di ricerca sono sei: WhatsApp, Slack, SMS, Signal, Instagram e Messenger. La scelta non è casuale. Queste app godono di un livello di trust implicito pressoché massimo nell'ecosistema mobile: i loro banner di notifica sono abilitati di default, spesso con priorità visiva e sonora elevata, e l'utente li associa istintivamente a comunicazioni personali o lavorative legittime.
Or Yair ha descritto questa superficie di attacco come "effectively infinite" — efficacemente infinita — perché ogni app che genera notifiche testuali può veicolare payload di indirect prompt injection. Non serve compromettere l'app stessa: basta che l'attaccante sia in grado di inviare un messaggio all'utente, cosa possibile attraverso numerosi scenari — account compromessi di contatti, gruppi pubblici, o semplicemente numero di telefono noto.
La feature attaccata, Gemini Utilities, è esplicitamente limitata ad Android. Secondo la documentazione ufficiale Google citata nel dossier, questa funzionalità legge e risponde alle notifiche di app selezionate; non è disponibile su iOS né nell'interfaccia web. Questa restrizione plattaforma confina l'impatto al parco Android, ma lo estende a tutti i dispositivi con Gemini attivo e Utilities abilitata.
Cosa hanno dimostrato i ricercatori
Le dimostrazioni di SafeBreach non si limitano a teoria. I ricercatori hanno documentato esecuzioni concrete con impatti su più domini della sicurezza: fisica, comunicativa, e di privacy.
Sul fronte smart home, hanno dimostrato il controllo non autorizzato di dispositivi Google Home. Per quanto riguarda le comunicazioni, hanno mostrato l'avvio di chiamate Zoom con streaming video attivo — sfruttando un redirect 301 da un dominio precedentemente ritenuto affidabile — e l'invio di messaggi falsi che apparivano provenire da contatti fidati. Il meccanismo del redirect 301 è particolarmente insidioso: Gemini accorda fiducia a un dominio dopo che ha servito contenuto pulito, quindi segue un redirect successivo senza richiedere nuova autorizzazione.
Il dossier documenta anche il "memory poisoning" a livello account: l'assistente ha salvato persistentemente un fatto scelto dall'attaccante, e questa memoria — essendo legata all'account Google, non al singolo dispositivo — ha seguito l'utente ovunque utilizzasse Gemini con quelle credenziali. Infine, è stata dimostrata una forma di sorveglianza programmata, con attivazione temporizzata di funzioni di raccolta dati.
La disclosure e il fix server-side
La timeline documentata nel dossier è precisa. La segnalazione al Google Vulnerability Reward Program è avvenuta il 17 agosto 2025. Google ha confermato la correzione il 14 novembre 2025, specificando che miglioramenti ai content classifier avrebbero mitigato il problema. Il fix è server-side: nessun aggiornamento dell'applicazione Google o del sistema operativo è richiesto agli utenti.
Questa modalità di correzione presenta aspetti ambivalenti. Da un lato, elimina la latenza tipica degli aggiornamenti di sicurezza mobile, che dipendono dalla distribuzione OEM e dall'adozione utente. Dall'altro, mantiene la feature Utilities attiva di default, senza richiedere una scelta esplicita di abilitazione né una revisione dei permessi di notifica già concessi. Il dossier non specifica se Google abbia implementato mitigazioni aggiuntive oltre i content classifier improvements, né se esistano varianti della tecnica non coperte dalla patch.
Non risulta un CVE assegnato per questa issue. SafeBreach non ne elenca uno nel suo rapporto, e nessuna delle fonti convergenti ne riporta l'esistenza. Le fonti affermano inoltre l'assenza di evidenze di exploit in-the-wild, con la cautela che questa assenza non costituisce prova di non sfruttamento.
Perche è importante
Il dossier non specifica se la tecnica sia stata replicata indipendentemente da altri ricercatori, né delinea misure correttive aggiuntive che gli utenti possano adottare autonomamente. La fonte non chiarisce se specifiche versioni di Android o dell'app Google siano più o meno esposte, e non documenta varianti della "Fake Context Alignment" che potrebbero aggirare i content classifier migliorati.
Il caso Gemini Utilities ripropone con urgenza una questione strutturale del design degli assistenti AI agentic: la fusione di canali di comunicazione tradizionalmente trusted — le notifiche — con modelli di linguaggio che interpretano ogni input come potenziale istruzione. Quando il confine tra "messaggio da un amico" e "comando per il sistema" diventa poroso, l'intero modello di trust dell'ecosistema mobile richiede ricalibrazione.
Or Yair ha sintetizzato la posta in gioco con una dichiarazione che suona come principio architetturale: "Yes, 100%. We do need to treat all external input as not trusted because all external input is a potential instruction". Questa posizione — trattare ogni input esterno come non attendibile — contrasta con la logica di integrazione profonda che guida l'espansione di Gemini e assistenti simili in dispositivi e servizi quotidiani.
La domanda che resta aperta
La correzione server-side di novembre 2025 ha chiuso la specifica vulnerabilità documentata, ma non la classe di attacco che essa rappresenta. L'indirect prompt injection tramite notifiche è intrinsecamente legata alla scelta di dare agli LLM accesso a flussi di dati non curati provenienti da terze parti. Ogni nuova integrazione — email, calendari, documenti condivisi, log di sistema — replica in scala questa superficie.
Per le organizzazioni che stanno valutando l'adozione di AI agentic in ambienti enterprise, il caso Gemini Utilities offre un criterio di valutazione concreto: verificare non solo quali azioni l'agente può compiere, ma quali flussi di input può consumare senza sanitizzazione, e come il sistema gestisce la disallineazione tra contesto di autorizzazione backend e contesto percettivo utente. La "dual illusion" non è un bug implementativo: è un paradigma emergente che sfrutta l'architettura stessa dell'interazione uomo-AI.
Fonti
- https://www.securityweek.com/gemini-voice-assistant-hijacked-via-messaging-notifications/
- https://thehackernews.com/2026/06/whatsapp-slack-notifications-could.html
- https://www.darkreading.com/application-security/malicious-notifications-could-trick-google-gemini-users
- https://www.theneurondaily.com/p/google-gemini-got-hijacked-via-whatsapp
- https://cybersecuritynews.com/google-gemini-vulnerability-exploited/
- https://cyberpress.org/new-gemini-flaw-exploited/
- https://support.google.com/gemini/answer/15235441
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.