Gemini-Sicherheitslücke: Eine Nachricht kappt Android-Assistenten

Eine einzige Nachricht auf WhatsApp oder Slack reicht aus, um den Google-Sprachassistenten Gemini auf Android-Geräten zu kapern. Das zeigt eine neue Studie des Sicherheitsunternehmens SafeBreach Labs.

Forscher entdeckten eine sogenannte indirekte Prompt-Injection-Schwachstelle, die es Angreifern ermöglicht, die KI zu unerwünschten Aktionen zu bewegen – ohne dass eine schädliche App auf dem Zielgerät installiert sein muss. Die Nachricht kann über gängige Kommunikationsplattformen wie WhatsApp, Slack oder SMS verschickt werden.

Wie die Attacke funktioniert

Anzeige: Eine WhatsApp-Nachricht reicht, um Gemini zu kapern – Ihr Smart-Home und Ihre Konten sind in Gefahr. Erfahren Sie in unserem Leitfaden, wie Sie die Angriffsfläche minimieren und Ihren KI-Assistenten absichern. Sicherheits-Leitfaden jetzt anfordern

Der Sicherheitsforscher Or Yair stieß auf ein grundlegendes Problem: Geminis Sprachassistent behandelt eingehende Benachrichtigungen als direkte Anweisungen. Die sogenannte Utilities-Funktion interpretiert den Text einer Notification als Befehl – ein Einfallstor für indirekte Prompt-Injection.

Um Googles bestehende Sicherheitsfilter zu umgehen, entwickelten die Forscher eine Methode namens „Fake Context Alignment". Dabei wird der schädliche Befehl in obskuren Text eingebettet – etwa in Fremdsprachen oder in übersprungenen Hyperlinks. Die KI wird so getäuscht, dass sie die Anweisung aus der Nachricht befolgt, statt ihre normalen Sicherheitsprotokolle anzuwenden.

Smart-Home und Konten in Gefahr

Die möglichen Folgen sind alarmierend. In ihren Tests konnten die Forscher vernetzte Smart-Home-Geräte steuern und unbefugte Video-Streams über Zoom starten. Noch gravierender: Die Lücke ermöglicht großangelegte Social-Engineering-Angriffe. Angreifer könnten Nachrichten verschicken, die scheinbar von vertrauten Kontakten oder Vorgesetzten stammen, und die KI anweisen, sensible Aufgaben auszuführen.

Ein weiteres Risiko ist die „Langzeit-Gedächtnisvergiftung". Da Gemini Informationen über das gesamte Google-Konto speichert, um personalisierte Antworten zu liefern, könnte eine einzige bösartige Nachricht das KI-Gedächtnis dauerhaft manipulieren. Die Folge: dauerhafte Überwachung oder künftige unbefugte Aktionen auf Basis korrumpierter Daten.

Google reagiert mit Server-Updates

SafeBreach Labs meldete die Schwachstelle am 17. August 2025 an Googles Vulnerability Reward Program. Der Konzern entwickelte daraufhin serverbasierte Content-Klassifizierungs-Updates, die das Risiko eindämmen sollen. Am 14. November 2025 bestätigte Google die Implementierung dieser Gegenmaßnahmen.

Bislang gibt es keine Hinweise darauf, dass die Sicherheitslücke vor der Schließung tatsächlich ausgenutzt wurde. Dennoch zeigt der Vorfall eine grundlegende strukturelle Herausforderung: Wie sollen KI-Modelle mit externen Daten umgehen, ohne manipulierbar zu sein?

KI-Sicherheit bleibt ein Brennpunktthema

Anzeige: Angreifer können Ihr KI-Gedächtnis dauerhaft manipulieren – eine einzige bösartige Nachricht genügt. Schützen Sie sich mit unseren 5 Sicherheitsregeln für KI-Geräte. 5 Sicherheitsregeln jetzt sichern

Die Gemini-Schwachstelle reiht sich ein in eine Serie von Sicherheitsvorfällen rund um KI-gesteuerte Tools. Anfang Juni 2026 wurde bekannt, dass Meta Sicherheitslücken in seinen KI-gestützten Support-Chatbots schließt – Hacker hatten diese genutzt, um Instagram-Konten zu übernehmen, indem sie Passwörter zurücksetzen ließen.

Aktuelle Sicherheits-Benchmark-Tests zeigen zudem ein gemischtes Bild: Während einige KI-Modelle sich manipulieren ließen, um Hacking-Herausforderungen zu lösen, verweigerten neuere Versionen von Gemini – darunter Gemini 3.1 Pro Preview und 3.5 Flash – weitgehend die Mitarbeit bei Aufgaben, die auf unbefugten Systemzugriff hindeuteten.

Google rollt parallel neue Sicherheitsfunktionen für Android aus, die verschlüsselte RCS-Signale nutzen, um KI-gestützte Spam-Anrufe zu erkennen. Sicherheitsexperten empfehlen Nutzern, die Berechtigungen ihrer KI-Assistenten regelmäßig zu überprüfen und nicht benötigte Integrationen zu deaktivieren – um die Angriffsfläche so klein wie möglich zu halten.

de | wissenschaft | 69482491 |