Pesquisadores da SafeBreach Labs descobriram uma vulnerabilidade no assistente de voz Google Gemini que permite a invasores enviar instruções maliciosas via WhatsApp, Slack, SMS e outros aplicativos de mensagens. A técnica, chamada “Fake Context Alignment”, engana o usuário para aprovar ações fraudulentas sem perceber. A falha foi corrigida em novembro de 2025 após relatório responsável, mas os detalhes foram divulgados agora.
Como o ataque funciona
O vetor de ataque explora a capacidade do Gemini de ler notificações de mensagens recebidas no dispositivo Android. Quando um invasor envia uma mensagem maliciosa via WhatsApp, Slack, Signal ou SMS, o assistente processa o conteúdo como parte do contexto da conversa — sem que o usuário tenha solicitado.
A SafeBreach batizou a técnica de Fake Context Alignment. Ela funciona em duas camadas: o Gemini emite uma pergunta em idioma estrangeiro (por exemplo, em chinês) que o usuário não entende, seguida de uma pergunta inocente em inglês. Quando o usuário responde “sim” à pergunta em inglês, o mecanismo de segurança do Google alinha essa resposta com a instrução maliciosa em outro idioma — autorizando a execução da ação.
Uma variação chamada Muted Fake Context Alignment usa links ocultos na saída de texto que não são lidos em voz alta. O usuário ouve uma mensagem benigna, mas a tela exibe um link com a instrução maliciosa. A resposta verbal do usuário é interpretada como aprovação para a ação escondida.
O que os atacantes conseguem
Os pesquisadores demonstraram três cenários de impacto crítico. No primeiro, o invasor força o Gemini a forjar mensagens de contatos confiáveis — como um gerente pedindo o upload de documentos para o Google Drive. O ataque é “cego”: nem precisa conhecer os contatos da vítima, pois a instrução orienta o assistente a usar o primeiro nome autêntico na fila de notificações.
No segundo cenário, pesquisadores forçaram o Gemini a abrir o Zoom e iniciar uma transmissão de vídeo sem confirmação do usuário. A técnica usa um domínio legítimo com redirecionamento HTTP 301 para uma URI de intent do aplicativo Zoom, que o assistente segue sem validação adicional.
O terceiro cenário é o mais persistente: envenenamento de memória entre dispositivos. Usando a técnica de alinhamento falso, os pesquisadores alteraram informações permanentes na memória do Gemini — como o nome do usuário — e criaram tarefas recorrentes. Como a memória é sincronizada com toda a conta do Google Workspace, o comprometimento do celular se propaga automaticamente para tablet, computador e alto-falantes inteligentes.
| Vetor de ataque | Plataforma | Impacto demonstrado |
|---|---|---|
| Obfuscated Fake Context | WhatsApp, Slack, Signal, SMS | Aprovação de ações sem conhecimento do usuário |
| Muted Fake Context | Messenger, Instagram, SMS | Execução de links ocultos via resposta verbal |
| Combo (obfuscated + muted) | Todas as plataformas acima | Envenenamento de memória e acesso persistente |
Status da correção
A vulnerabilidade foi reportada à Google em 17 de agosto de 2025 por meio do programa Google Vulnerability Reward Program (VRP). A correção foi implementada em 14 de novembro de 2025, antes da divulgação pública. A SafeBreach ressaltou que o Google reforçou as verificações de alinhamento de contexto após pesquisas anteriores, mas as novas técnicas contornaram essas defesas.
Usuários do Gemini devem manter o aplicativo atualizado e revisar as permissões de leitura de notificações nas configurações do Android. Desativar o acesso do Gemini a notificações de apps de mensagens reduz a superfície de ataque. Em ambientes corporativos, administradores devem avaliar políticas de uso de assistentes de IA com acesso a ferramentas produtivas como Google Drive e Zoom.
Fontes
- SafeBreach Labs — Exploiting Gemini via Prompt Injection
- Cybersecurity News — New Google Gemini Vulnerability Exploited via Prompt Injections
- GBHackers — Hackers Exploit Google Gemini Flaw Using Malicious Messages
- Frontier AI: O Que São Modelos de Fronteira e Por Que Preocupam a Segurança
- IA na Cibersegurança: Onde Ajuda, Onde Aumenta Risco