Google Gemini: Forscher knacken KI-Assistent über Benachrichtigungen

Angreifer können über manipulierte Benachrichtigungen die Kontrolle über den KI-Assistenten übernehmen.

Fake Context Alignment: Neue Angriffstechnik aufgedeckt

Die als „Fake Context Alignment“ bezeichnete Methode nutzt eine Schwachstelle bei der Verarbeitung von Benachrichtigungen auf Android-Geräten aus. Der Forscher Or Yair konnte zeigen, dass Gemini unter bestimmten Bedingungen nicht zwischen dem tatsächlichen Nachrichteninhalt und darin versteckten Anweisungen unterscheiden kann.

Anzeige: Die neue Angriffstechnik „Fake Context Alignment“ kann Ihren Gemini-Assistenten über manipulierte Benachrichtigungen kapern – mit Folgen bis hin zur Smart-Home-Übernahme. Dieser kostenlose Guide zeigt Ihnen in 3 Schritten, wie Sie Ihr Gerät schützen. Sicherheits-Guide jetzt anfordern

Angreifer verstecken schädliche Prompts in Benachrichtigungen von WhatsApp, Slack oder SMS. Dazu nutzen sie etwa Fremdsprachen oder stummgeschaltete Hyperlinks. Sobald Gemini die Benachrichtigungen für Zusammenfassungen ausliest, führt der Assistent die eingebetteten Befehle aus.

Besonders perfide: Die indirekte Prompt-Injection erlaubt Aktionen im Namen des Nutzers, ohne dass eine direkte Interaktion mit dem Angreifer nötig ist.

Von Smart-Home bis Gedächtnisvergiftung

Die Schwachstelle hat weitreichende Folgen. In Demonstrationen gelang es den Forschern, über den manipulierten Assistenten Smart-Home-Geräte zu steuern und unbefugt Zoom-Videoanrufe zu starten.

Noch gefährlicher: Durch gefälschte Nachrichten von scheinbar vertrauenswürdigen Kontakten könnte die KI den Nutzer manipulieren oder sensible Daten preisgeben. Die Experten warnen zudem vor einer „Gedächtnisvergiftung“ – hierbei wird das Langzeitgedächtnis des Assistenten manipuliert, um dauerhaft falsche Informationen zu hinterlegen.

SafeBreach kategorisiert die Bedrohungen in Datendiebstahl, Kontoübernahme, Überwachung und Phishing.

Google reagiert mit Updates

Der Technologiekonzern hat bereits im November erste Maßnahmen ergriffen. Serverseitige Content-Klassifikatoren sollen schädliche Anweisungen in Benachrichtigungen besser erkennen. Allerdings umgingen die Forscher Googles Schutzmechanismen während der Tests mehrfach – woraufhin das Unternehmen nachbesserte.

Konkrete Angriffe außerhalb von Laborbedingungen sind bislang nicht bekannt. Nutzer können das Risiko reduzieren, indem sie die Verbindung zwischen Gemini und bestimmten Apps trennen.

Anzeige: Angreifer können über gefälschte Nachrichten das Langzeitgedächtnis Ihres KI-Assistenten vergiften – und so dauerhaft falsche Informationen hinterlegen. Erfahren Sie im Report, wie Sie diese „Gedächtnisvergiftung“ verhindern und Gemini sicher nutzen. Report zur Gedächtnisvergiftung sichern

Android-Sicherheitsupdate behebt 124 Lücken

Parallel zu den Gemini-Enthüllungen hat Google Anfang Juni Sicherheitsupdates für Android veröffentlicht. Die Updates schließen insgesamt 124 Schwachstellen. Darunter die Zero-Day-Lücke CVE-2025-48595 im Android-Framework, die laut Hersteller bereits für gezielte Angriffe zur Berechtigungserhöhung genutzt wurde.

Zudem führt Google die Funktion „Fake Call Detection“ ein. Sie erkennt mithilfe verschlüsselter RCS-Signale, ob Anrufer-Identitäten durch KI-Stimmenklonen oder Spoofing vorgetäuscht werden. Die Funktion kommt zunächst für Pixel-Geräte ab Android 12.

de | wissenschaft | 69483509 |