Google Gemini: Kritische Lücke erlaubte Übernahme über Nachrichten

Sicherheitsforscher haben eine kritische Schwachstelle in Google Gemini auf Android aufgedeckt. Die als „Fake Context Alignment" bezeichnete Angriffsmethode erlaubte es Unbefugten, den KI-Assistenten über manipulierte Benachrichtigungen von Drittanbieter-Apps zu übernehmen. Entdeckt wurde die Lücke vom israelischen Sicherheitsunternehmen SafeBreach Labs.

Angriff über manipulierte Nachrichten

Anzeige: Die Gemini-Lücke zeigt: Ihr KI-Assistent kann über Nachrichten gekapert werden – mit Folgen für Smart Home und persönliche Daten. Dieser kostenlose Leitfaden zeigt Ihnen in 3 Schritten, wie Sie sich schützen. Jetzt Schutzleitfaden anfordern

Die Schwachstelle basierte auf einer indirekten Prompt-Injection. Dabei versteckten Angreifer schädliche Anweisungen in Benachrichtigungen gängiger Messenger wie WhatsApp, Slack, Signal, Instagram oder SMS. Die Tücke: Eine Nachricht konnte auf den ersten Blick harmlos wirken – etwa eine Routinefrage auf Englisch – während sie im Hintergrund einen bösartigen Befehl in einer anderen Sprache, etwa Chinesisch, enthielt.

Interagierte der Nutzer mit Gemini oder verarbeitete der Assistent die Benachrichtigung automatisch, konnte der versteckte Befehl die beabsichtigten Sicherheitsmechanismen außer Kraft setzen. Die Forscher umgingen damit auch Googles speziellen „Content Classifier"-Filter.

Von Datenklau bis zur Übernahme des Smart Homes

Die möglichen Angriffsszenarien waren vielfältig – besonders gefährlich im Freisprechmodus, etwa während der Autofahrt:

• Kontrolle über Smart-Home-Geräte: Unbefugter Zugriff auf Google Home und angeschlossene Sicherheitssysteme
• Manipulation der Kommunikation: Gefälschte Nachrichten oder heimlich initiierte Zoom-Konferenzen
• Datendiebstahl: Abgreifen von Kontakten und Standortdaten
• Manipulation des KI-Gedächtnisses: Einschleusen schädlicher Daten in Geminis Langzeitspeicher

SafeBreach kategorisierte die Risiken in fünf Bereiche: Datendiebstahl, unbefugte Aktionen, Phishing, Kontoübernahme und Überwachung.

Google reagierte – Update bereits installiert

Die Sicherheitslücke wurde Google bereits im August 2025 gemeldet. Der Konzern entwickelte daraufhin einen server-seitigen Fix, der Mitte November 2025 ausgerollt wurde. Das aktualisierte System erkennt und blockiert nun Prompt-Injection-Angriffe dieser Art.

Da die Lösung auf den Servern von Google implementiert wurde, mussten Nutzer kein manuelles Update auf ihren Android-Geräten installieren. Nach Angaben von Branchenberichten gibt es keine Hinweise auf eine Ausnutzung der Lücke durch Kriminelle.

Anzeige: Angreifer nutzen harmlose Nachrichten, um Gemini zu übernehmen – unbemerkt im Freisprechmodus. Erfahren Sie, wie Sie Benachrichtigungszugriff und Berechtigungen richtig einstellen. Gemini-Sicherheits-Checkliste sichern

Sicherheitsexperten empfehlen dennoch, die Berechtigungen von Gemini zu überprüfen – insbesondere die Funktion „Benachrichtigungen lesen, beantworten und steuern". Auch das Deaktivieren einzelner Gemini-Utilities kann das Restrisiko minimieren.

Unabhängig von anderer Android-Sicherheitslücke

Die Veröffentlichung der Gemini-Schwachstelle fällt zeitlich mit einer Warnung der US-Cybersicherheitsbehörde CISA vor einer separaten Android-Sicherheitslücke zusammen. Jene Schwachstelle (CVE-2025-48595) betrifft einen Integer-Overflow im Android-Framework und ermöglicht eine lokale Rechteausweitung. Zwischen beiden Vorfällen besteht nach Einschätzung der Behörden kein Zusammenhang.

de | wissenschaft | 69486150 |