Hogyan vette át az irányítást egy WhatsApp-üzenet a Google mesterséges intelligenciája felett
Képzelje el, hogy egy ismerőse üzenetet küld Önnek WhatsAppon – semmi különös, egy hétköznapi szöveg. Ön nem is nézi meg azonnal, de a telefonja Gemini hangasszisztense igen, mert az értesítéseket figyeli. Az üzenetbe azonban valaki rejtett utasításokat csempészett, amelyeket Ön soha nem lát, de a Gemini elolvassa, értelmezi, és csendesen végrehajtja – miközben Önnek semmiféle jelzést nem ad. Az okosotthon-eszközei elkezdenek reagálni. A telefonja csatlakozik egy Zoom-híváshoz, és közvetíti a kameráját. A Gemini memóriájába hamis információk kerülnek, amelyek az összes többi Google-eszközére is kiterjednek. Ez nem egy elképzelt forgatókönyv. A SafeBreach Labs biztonsági kutatói pontosan ezt demonstrálták kontrollált körülmények között, és 2026. június 2-án tették nyilvánossá az eredményeiket.
Mielőtt belemerülnénk a technikai részletekbe, érdemes megérteni az alapfogalmat, mert ez az egész eset kulcsa. Egy mesterséges intelligencia rendszer – mint a Gemini – szöveges utasítások alapján működik. Ezeket az utasításokat általában a felhasználó adja, vagy a rendszer programozói határozzák meg előre. A prompt injekció lényege az, hogy egy harmadik fél – egy támadó – olyan szöveget csempész a rendszer látókörébe, amelyet az utasításként értelmez, holott az valójában egy üzenet, egy dokumentum, vagy jelen esetben egy értesítés tartalma. Ez olyan, mintha valaki egy levélborítékra azt írná: „Kedves postás, kérjük, adja át a levelet a szomszédnak, és egyúttal nyissa ki az összes többi csomagot is, amit ma kézbesít." A postás normális esetben nem követné ezt az utasítást – de ha az MI nem elég körültekintő, bizony megteszi.
A sebezhetőség a Gemini Android Utilities ügynökét célozta meg – azt az összetevőt, amely a WhatsApp, Slack, SMS, Signal, Instagram és Messenger értesítéseit olvassa, hogy a hangasszisztens reagálni tudjon rájuk. Ez a komponens természeténél fogva megbízhatatlan forrásból érkező adatokat dolgoz fel: bárki küldhet üzenetet az adott telefonra, akár ismeretlen is. A kutatók ezt a nyitott kaput használták ki. A Google meglévő biztonsági szűrőinek megkerülésére a SafeBreach csapata egy általuk „Fake Context Alignment" – hamis kontextus-összehangolás – névre keresztelt technikát dolgozott ki, amely egyszerre két illúziót teremtett. A Gemini biztonsági mechanizmusai egy teljesen jogszerű engedélyezési folyamatot láttak, miközben az áldozat egy ártalmatlannak tűnő, hétköznapi helyzetet érzékelt. A kettő között, a kettős illúzió árnyékában hajtódtak végre a rosszindulatú utasítások.
Az egyik változat idegen nyelvű parancsokat ágyazott az üzenetbe: a szövegfelolvasó motor hangosan felolvasta ezeket, de az áldozat – aki nem értette a nyelvet – mit sem sejtett. Egy másik változat veszélyes utasításokat rejtett el kattintható hiperhivatkozások szövegébe, amelyeket a hangmotor teljesen kihagyott az olvasás során, így az utasítás láthatatlan maradt a felhasználó előtt, de a háttérrendszer feldolgozta.
A biztonsági kutatók öt konkrét visszaélési forgatókönyvet mutattak be, amelyek mindegyike kontrollált körülmények között zajlott, de valós életbeli fenyegetést modellez. Az okosotthon-eszközök – motorral nyitható ablakok, lámpák – távirányítása talán a legkevésbé félelmetes, bár egy nyitva hagyott ablak is okozhat kellemetlenséget. Ennél súlyosabb a telefon kényszerített csatlakoztatása Zoom-hívásokhoz az áldozat kameráját közvetítve, vagy a Gemini hosszú távú memóriájának megmérgezése hamis információkkal – amely az azonos Google-fiókhoz kapcsolt összes eszközre kiterjedt, tehát nem csupán egyetlen telefont, hanem az áldozat teljes digitális ökoszisztémáját érintette.
A legsúlyosabb azonban a social engineering lehetősége: a rendszer képes volt megbízható ismerősöktől érkező üzeneteket hamisítani. „Ami még riasztóbb: ez a támadás teljesen vakon is végrehajtható" – írta Or Yair, a SafeBreach kutatója, hozzátéve, hogy a kártékony kód utasíthatja a Geminit arra, hogy egy kitalált üzenetet annak a személynek tulajdonítson, aki elsőként jelenik meg az értesítési sorban – az áldozat névjegyeire vonatkozó semmilyen előzetes ismeret nélkül. Ez azt jelenti, hogy a támadónak nem kell ismernie az áldozatot, nem kell tudnia, kik a barátai, sem azt, ki az, akiben az áldozat megbízik.
A SafeBreach 2025. augusztus 17-én jelentette be a megállapításait a Google Sebezhetőségi Jutalmak Programjának. A Google 2025. november 14-én megerősítette, hogy szerveroldali javítást telepített, amely csökkenti a kutatásban részletezett támadások kockázatát. A nyilvánosságra hozatal 2026. június 2-án történt – ez a körülbelül kilenc hónapos különbség a szokásos felelős közzétételi folyamat része: a kutatók megadják az időt a javításra, mielőtt nyilvánosságra hozzák a részleteket. Fontos megjegyezni, hogy nyilvános CVE-azonosítót – a biztonsági rések hivatalos nyilvántartási számát – nem rendelték hozzá az esethez, ami megnehezíti a nyomon követést és az összehasonlítást más ismert sebezhetőségekkel.
A közzététel nem a semmiből érkezett: illeszkedik a Gemini ellen az elmúlt évben feltárt prompt injekciós sebezhetőségek egyre gyarapodó sorozatába. 2025 augusztusában a Black Hat USA és a DEF CON biztonsági konferenciákon naptáralapú támadásokat mutattak be, amelyek hasonló elven működtek. 2026 januárjában egy Chrome-bővítmény-eltérítési hibát javítottak. A minta egyértelmű: ahogy az MI-rendszerek egyre mélyebben integrálódnak a mindennapi alkalmazásokba és eszközökbe, a támadási felület is arányosan növekszik.
Az eset legfontosabb tanulsága nem az, hogy a Gemini rossz termék – hanem az, hogy az MI-asszisztensek és a külső alkalmazások közötti integráció minden pontja potenciális biztonsági réssé válhat, ha az adatokat az MI nem kezeli kellő gyanakvással. Minél több jogosultsággal rendelkezik egy MI-asszisztens – minél több alkalmazást lát, minél több eszközt irányít, minél mélyebben épül be a felhasználó digitális életébe –, annál fontosabb, hogy pontosan értse: melyik utasítást szabad követni, és melyiket kell figyelmen kívül hagyni. Ez a kérdés az egész iparágra vonatkozik, nem csupán a Google-re, és a következő évek egyik legfontosabb biztonsági kihívása lesz.
FORRÁS: Malwarebytes