Une simple notification de messagerie pouvait suffire à détourner Google Gemini sur Android dans une démonstration de sécurité publiée début juin. Le scénario étudié vise les notifications de WhatsApp, Slack, SMS, Signal, Instagram ou Messenger, que l’assistant peut lire pour les restituer à voix haute ou y répondre.
L’affaire ne décrit pas une campagne d’attaque observée dans la nature. Elle montre surtout une faiblesse très concrète des assistants IA : un texte reçu par notification peut être traité comme un contexte utile, alors qu’il contient des consignes hostiles cachées.
Le point faible : la notification devient du contexte
La recherche publiée par SafeBreach part de la fonction Android qui permet à Gemini de lire et de traiter les notifications. Dans ce cadre, un message conçu pour paraître banal à l’utilisateur peut contenir des instructions destinées à l’assistant.
La technique nommée Fake Context Alignment consiste à présenter une situation apparemment légitime aux mécanismes de défense de Gemini, tout en masquant une consigne différente dans le texte de la notification. Les exemples documentés utilisent notamment des langues étrangères ou des liens muets pour rendre les instructions moins visibles.
Ce que les chercheurs ont réussi à provoquer
Scénarios démontrés : modification de réponses vocales, fausse demande attribuée à un contact de confiance, action sur des appareils connectés, lancement de flux vidéo et altération de la mémoire longue durée de l’assistant.
Le risque le plus parlant n’est pas seulement technique. Si l’assistant lit à voix haute une consigne fabriquée pendant que l’utilisateur conduit ou ne regarde pas l’écran, la frontière entre notification légitime et manipulation devient difficile à vérifier immédiatement.
La démonstration insiste aussi sur l’ampleur de la surface d’attaque : tout service capable d’envoyer une notification au téléphone peut devenir un canal potentiel, sans installation préalable d’une application malveillante.
Android concerné, correction déployée
Le vecteur décrit concerne Android, via les capacités de Gemini liées aux notifications. The Hacker News précise que cette voie ne s’applique pas à iOS ni au web dans les mêmes conditions.
Google a renforcé ses défenses après la divulgation responsable, avec des améliorations côté serveur et des classificateurs de contenu. Les publications spécialisées ne font pas état d’une exploitation réelle connue, et la recherche ne s’accompagne pas d’un CVE public.
Pourquoi cette faille dépasse Gemini
Le cas Gemini illustre un problème plus large pour les assistants IA intégrés au téléphone : ils doivent distinguer les demandes de l’utilisateur, les contenus reçus de tiers et les instructions cachées dans ces contenus. Plus l’assistant a accès aux notifications, à la voix et aux actions du mobile, plus ce tri devient décisif.
Pour le public, la leçon immédiate tient en une idée simple : l’IA mobile ne se juge pas seulement à ses réponses, mais aussi à sa capacité à refuser les consignes dissimulées dans des messages entrants.
Sources
- Exploiting Gemini via Prompt Injection
- Malicious Notifications Could Trick Google Gemini Users
- WhatsApp, Slack Notifications Could Hijack Google Gemini on Android
- Malicious WhatsApp, Slack Alerts Could Have Exposed Millions of Android Users
- Faille Google Gemini : comment une simple notification a pu piéger l'assistant