Отравленное уведомление на Android могло сбить с толку ИИ-ассистента и заставить его отвечать не так, как задумал пользователь. Речь шла не о вредоносном приложении, а о тексте в обычных уведомлениях из мессенджеров и корпоративных чатов.
Что именно произошло
Исследователи SafeBreach показали сценарий, в котором ИИ-ассистент Google Gemini на Android воспринимает текст уведомления как полезный контекст и может исполнить скрытую инструкцию. В источнике фигурируют сообщения из WhatsApp*, Slack, SMS, Signal, Instagram* и Messenger* — то есть из каналов, которые многие считают повседневными и безопасными.
Суть атаки проста: ассистент читает уведомление, а затем пытается использовать его как подсказку для ответа или действия. Если текст специально составлен как команда, система может принять его за легитимный запрос.
Как это работает технически
На Android у Gemini есть функция Utilities: она умеет читать уведомления и отвечать на них. Исследователи выяснили, что компонент, который разбирает такие сообщения, может относиться к тексту слишком доверчиво — как к инструкции, а не как к чужому сообщению.
Отсюда и риск. Злоумышленнику не нужно заражать смартфон отдельным приложением: достаточно отправить жертве заражённое уведомление через любой канал, который доставляет текст на экран. В теории это открывало путь к подмене ответа, запуску действий в других сервисах, подсовыванию фальшивого сообщения от «начальника» и даже к записи ложных сведений в долгосрочную память ассистента.
Позднее Google закрыла проблему на серверной стороне. По сообщению SafeBreach, уязвимость не получила CVE, а признаков реального массового применения не нашли.
Почему это опасно
Опасность не в эффектном взломе, а в бытовой правдоподобности. Если ассистент вслух произнесёт фразу вроде «ваш руководитель просил отправить документы», человек за рулём или на ходу вряд ли быстро заметит подмену.
Есть и другой риск — скрытые действия. Исследователи показали, что ассистент мог открыть окна умного дома, перейти по ссылке, инициировать загрузку файла, подтолкнуть телефон к входу в видеозвонок или записать ложный факт в память аккаунта. Подобные цепочки опасны именно тем, что выглядят как обычная помощь, а не как атака.
Этот класс атак хорошо ложится в общую картину «отравления контекста» — когда злоумышленник не ломает систему напрямую, а подсовывает ей ложный смысл. Похожую логику мы уже разбирали в материале Уязвимость VS Code позволяла красть токены GitHub в один клик: проблема часто сидит не в грубой силе, а в доверии к данным, которые должны были казаться безобидными.
Как понять, что это касается вас
Риск выше у тех, кто пользуется Android-устройством с включёнными функциями ИИ-ассистента, читает уведомления вслух и разрешает им управлять частью действий на телефоне. Особенно это важно для людей, которые регулярно получают поток сообщений из рабочих чатов, семейных групп и сервисных уведомлений.
Если вы замечаете, что ассистент отвечает на сообщения сам, читает уведомления или умеет запускать связанные функции, значит, у вас уже есть тот самый слой автоматизации, который может ошибиться на чужом тексте. Для большинства пользователей это не повод паниковать, а сигнал проверить настройки.
Отдельно стоит насторожиться, если вы в дороге, часто отвлекаетесь на голосовые подсказки или пользуетесь ассистентом для коротких команд без проверки экрана. Именно в таком режиме фальшивый ответ легче принять за настоящий.
Что делать для защиты
Первый шаг — убрать у ассистента лишний доступ к уведомлениям, если вы не пользуетесь этой функцией каждый день. В источнике Google предлагает отключить Utilities в Connected Apps или снять разрешение на чтение, ответы и управление уведомлениями для приложения Google на Android.
Второй шаг — не доверять автоматическим ответам на сообщения, особенно если они приходят из рабочих чатов или от контактов с важными ролями. Лучше смотреть на экран, а не слушать подсказку вслух.
Третий шаг — держать отдельные инструменты цифровой гигиены в рабочем наборе: менеджер паролей, двухфакторную аутентификацию и, если речь идёт о командировках или поездках, защиту трафика на личных устройствах. Такой набор не отменяет риски целиком, но заметно снижает ущерб от подмены контекста.
Схожие приёмы злоумышленники уже используют в фишинговых кампаниях, где поддельная ссылка или редирект выглядят почти как нормальный сервис. Об этом мы подробно писали в материале Фишинг через статьи и редиректы: как не попасть на подмену ссылки.
Практический чек-лист
- Проверьте, включено ли у вас чтение уведомлений ассистентом на Android.
- Отключите доступ к уведомлениям, если не используете голосовые ответы регулярно.
- Не полагайтесь на вслух продиктованный ответ, когда речь идёт о деньгах, работе или доступах.
- Посмотрите, какие приложения могут влиять на действия ассистента через связанные сервисы.
- Обновите настройки приватности в рабочих чатах и мессенджерах, где приходит чувствительная информация.
- Для поездок и командировок заранее настройте базовые меры защиты данных на телефоне.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.