Una sola notificación envenenada de WhatsApp, Slack, SMS, Signal, Instagram o Messenger podría haber secuestrado el asistente de voz de Google Gemini en Android y haberlo obligado a abrir las ventanas conectadas de una víctima, falsificar un mensaje de su jefe, empujar el teléfono a una llamada de Zoom o envenenar silenciosamente su memoria a largo plazo.
No se requiere ninguna aplicación maliciosa en el teléfono. El asistente sólo tenía que tratar una notificación hostil como un contexto útil.
La investigación, publicada por Or Yair de SafeBreach, sigue el trabajo anterior del equipo «La invitación es todo lo que necesitas», que realizó trucos similares a través de invitaciones maliciosas de Google Calendar. Después de eso, Google protegió a Gemini contra la inyección indirecta.
Yair encontró una manera de sortear las nuevas defensas. Desde entonces, Google lo parchó, SafeBreach no enumera ningún CVE para el problema y no hay evidencia de que la técnica se haya utilizado alguna vez en la naturaleza.
En Android, la función Utilidades de Gemini puede leer y responder a sus notificaciones, incluidas las de aplicaciones como WhatsApp. No está disponible en iOS ni en la web, lo que mantiene este vector solo para Android. Yair descubrió que el agente que lee esas notificaciones trata su texto como instrucciones sobre las que puede actuar. Entonces, cualquier cosa que pueda enviar una notificación a un teléfono puede entregar una carga útil, una superficie de ataque que Yair llamó «efectivamente infinito«.
Como mínimo, eso permite a un atacante reescribir lo que dice Gemini, incluso falsificar un mensaje de un contacto designado. Dicho en voz alta mientras conduce y no mira la pantalla, «su gerente le pidió que cargue los documentos en esta carpeta de Drive» es difícil de adivinar. La versión ciega es peor: la carga útil se activa después de que Gemini haya cargado notificaciones reales, por lo que puede tomar el primer nombre real del remitente en la cola y fijarle el mensaje falso.
Falsificar resultados es una cosa. Activar herramientas reales, como abrir una ventana o iniciar una aplicación, es para lo que se crearon las mitigaciones posteriores a la «Invitación» de Google. Yair leyó, a partir de pruebas de caja negra: cuando un «Sí» autoriza una acción sensible, una verificación pesa tanto la respuesta del usuario como el último resultado de Gemini para decidir si ese «Sí» tiene sentido. Inyecte una instrucción retrasada de la nada, y Géminis se negó, cada vez.
Entonces el bypass, que Yair nombró Alineación de contexto falsagenera dos ilusiones a la vez: una autorización aparentemente legítima para el control de seguridad, un intercambio inofensivo para el ser humano.
- Ofuscado. Gemini hace la pregunta de autorización real en un idioma que la víctima no habla, digamos chino («¿Quieres abrir la ventana?»), luego sigue en inglés con algo inofensivo como «¿Eso es todo lo que necesitas?» El usuario ignora la frase extranjera como un error, dice «Sí» y el servidor vincula ese «Sí» con la pregunta china.
- Apagado. La conversión de texto a voz de Gemini omite los hipervínculos ocultos detrás del texto en el que se puede hacer clic. Entonces, la pregunta maliciosa queda oculta en un enlace que el asistente nunca lee en voz alta. Géminis dice: «Lo siento, tuve un error, ¿estás ahí?» mientras la pantalla muestra silenciosamente «¿Quieres abrir la ventana?» El conductor dice «Sí», el cheque ve el texto en pantalla y las ventanas se abren.
Combine los dos, un mensaje de autorización en chino escondido dentro de un enlace silenciado, y obtendrá una carga útil que suena como un intercambio normal en inglés mientras se borran los controles más recientes de Google.
Más allá de la autorización, los impactos coincidieron con la investigación anterior y luego fueron más allá:
- Control inteligente del hogar a través de Google Home: ventanas, calderas y luces conectadas.
- Seguimiento y descargas. Abrir URL para geolocalizar a una víctima por IP o enviar descargas de archivos.
- Cruzando a otras aplicaciones. En la demostración, Yair configuró un dominio que parecía seguro para redirigir a un enlace de la aplicación Zoom, y Gemini lo siguió sin preguntar, lo que obligó al teléfono a unirse a una reunión y transmitir video. Según su cuenta, funcionó porque Gemini confió en el dominio después de haber entregado contenido limpio y luego siguió la redirección posterior. SafeBreach destaca que su propio dominio nunca fue redirigido a Zoom; la redirección se ejecutó en un servidor local en el dispositivo de prueba.
- Envenenamiento de la memoria, que la técnica del calendario anterior nunca logró. La alineación de contexto falsa simula el consentimiento, por lo que Gemini guardó persistentemente un hecho elegido por el atacante. En la demostración, almacenó el nombre de la víctima como «Danny». Debido a que esa memoria está a nivel de cuenta, el hecho envenenado no está atrapado en el teléfono; sigue a la víctima donde quiera que use Gemini en esa cuenta.
- Persistencia a través de acciones programadas, como una tarea recurrente para leer los mensajes recientes de la víctima todos los días a las 8 p.m.
SafeBreach informó los hallazgos al Programa de recompensas por vulnerabilidades de Google el 17 de agosto de 2025. Google lo trató como una alta prioridad y confirmó el 14 de noviembre de 2025 que las mejoras en el clasificador de contenido mitigaron las inyecciones de notificaciones y la omisión de invocación retrasada de herramientas.
Debido a que la solución está en el lado del servidor, no hay que buscar ninguna actualización de la aplicación. El único control que tienen los usuarios es si Gemini lee las notificaciones: desconecte la aplicación Utilidades en la configuración de Aplicaciones conectadas de Gemini o desactive el permiso «Lectura, respuesta y control de notificaciones» de la aplicación Google en Android.