Seit KI-Assistenten auf dem Smartphone nicht mehr nur auf Kommando reagieren, sondern proaktiv Kontext sammeln — Nachrichten mitlesen, Benachrichtigungen auswerten, Kalender kennen —, war es eigentlich nur eine Frage der Zeit, bis jemand diesen Kanal als Angriffspfad nutzt. Sicherheitsforscher von SafeBreach haben das jetzt konkret beschrieben: Über normale Benachrichtigungen aus Apps wie WhatsApp, Slack oder Signal ließen sich Google Gemini auf Android Befehle unterjubeln. Google hat die Lücke serverseitig geschlossen, ein App-Update ist nicht nötig.
Benachrichtigung als ausführbarer Befehl
Google Geminis „Utilities“-Funktion auf Android liest Nachrichten aus Messenger-Apps, kann antworten und Aktionen auslösen. Das klingt nach Komfort — und ist es auch. Das Problem: Der Assistent behandelt den eingehenden Benachrichtigungstext faktisch wie eine Anweisung. Ein Angreifer, der das weiß, braucht keine Schadsoftware. Er schickt einfach eine präparierte Nachricht.
SafeBreach nennt die Technik dahinter „Fake Context Alignment“. Zwei Angriffswege wurden demonstriert: Bei der ersten Variante stellt Gemini dem Opfer auf Englisch eine harmlose Frage — im Hintergrund lauert die eigentliche schädliche Autorisierungsanfrage auf Chinesisch. Wer antwortet, genehmigt etwas, das er nie gesehen hat. Bei der zweiten Variante versteckt sich der kritische Befehl in einem Link, den die Text-zu-Sprache-Funktion stillschweigend überspringt: Das Opfer hört „I’m sorry, I had an error“ — während der Assistent gerade eine Erlaubnis einholt.
Ich nutze Sprachassistenten auf dem Smartphone seit Jahren. Die Notification-Integration war mir immer ein bisschen unheimlich — nicht weil ich konkrete Angriffe befürchtet hätte, sondern weil klar ist: Was ein KI-Modell als Input bekommt, wertet es aus. Und „Benachrichtigung lesen“ und „Benachrichtigung als Befehl interpretieren“ sind aus technischer Sicht gefährlich nahe beieinander.
Was Angreifer damit auslösen konnten
SafeBreach beschreibt konkrete Szenarien aus ihrer Forschung: Smart-Home-Geräte steuern (Fenster öffnen, Heizung regeln), im Namen von Kontakten Nachrichten fälschen, das Opfer ungefragt in Zoom-Meetings schleusen. Am heimtückischsten die dauerhafte Vergiftung des Assistenten-Gedächtnisses — einmal korrumpiert, liefert Gemini beim nächsten Mal falsche Antworten, ohne dass der Nutzer einen Hinweis bekommt (und das geräteübergreifend, da Gemini-Instanzen über dasselbe Google-Konto verbunden sind).
Kein Exploit-Kit war dafür nötig, keine gesonderte Infrastruktur. Der Angriffsweg läuft über denselben Kanal, den Sicherheitsfilter für relativ vertrauenswürdig halten: eingehenden Messenger-Traffic von bekannten Apps.
Google hat die Lücke serverseitig behoben. Nutzer, die kein Risiko eingehen wollen, können in den Android-Einstellungen die Berechtigung „Notification read, reply & control“ für Gemini dauerhaft deaktivieren — das schränkt die Komfort-Funktion ein, schließt diesen Angriffskanal aber vollständig.
Die eigentliche Frage, die dieses Research aufwirft, geht über den konkreten Patch hinaus. Wie viele andere KI-Assistenten lesen gerade Benachrichtigungen und verarbeiten den Inhalt ohne vergleichbare Sicherheitstests? Die Angriffsfläche wächst mit dem Funktionsumfang — und der Trend geht klar Richtung mehr Kontext, mehr Proaktivität, mehr automatischer Verarbeitung. SafeBreach hat einen Angriffsvektor sichtbar gemacht, der in der KI-Assistent-Diskussion bislang kaum Beachtung gefunden hat.
