Pesquisadores encontraram uma forma de sequestrar o Google Gemini usando notificações comuns de aplicativos como WhatsApp, Slack e SMS no Android. A técnica permitia que um atacante remoto controlasse dispositivos domésticos inteligentes da vítima, abrisse chamadas de vídeo sem autorização e adulterasse a memória permanente do assistente. Tudo isso sem instalar nenhum aplicativo malicioso no celular.
O estudo foi publicado pela empresa de segurança SafeBreach e é uma continuação de uma pesquisa anterior que mostrou ataques similares por meio de convites do Google Calendar.
Desta vez, o foco foi o recurso de leitura de notificações do Gemini no Android, chamado Utilidades. Esse recurso permite pedir ao assistente de voz que leia mensagens recebidas em voz alta, útil, por exemplo, enquanto se dirige. O problema é que o sistema tratava o conteúdo das mensagens como instruções legítimas, e não como texto de terceiros.
Isso significa que qualquer pessoa capaz de enviar uma notificação ao celular de outra pessoa, seja por WhatsApp, Slack, Signal, Instagram, SMS ou qualquer outro app, podia embutir comandos disfarçados nesta mensagem. A vítima nem precisava abrir a mensagem, bastava que o Gemini a lesse.
O primeiro impacto foi a manipulação do que o assistente diz
Sem acionar nenhuma ferramenta externa, o ataque já permitia controlar o discurso do Gemini. O pesquisador conseguiu fazer o assistente anunciar mensagens falsas atribuídas a contatos reais da vítima.
Por exemplo, o Gemini poderia dizer em voz alta, enquanto a pessoa dirige, que seu gerente pediu para ela enviar um arquivo para determinada pasta. A vítima, ouvindo o próprio assistente de confiança, tenderia a obedecer sem questionar.
E o ataque podia ser executado de forma totalmente cega, o invasor não precisava nem saber o nome do contato. A técnica instrui o Gemini a identificar o primeiro nome real na fila de notificações e atribuir a mensagem falsa a ele, o que tornaria esse tipo de golpe escalável para milhões de pessoas.
O segundo passo foi driblar as proteções do Google
Acionar ferramentas reais, como abrir janelas de casa ou iniciar uma videochamada, exigia superar uma proteção que o Google já havia implementado. Essa defesa verificava se um simples “Sim” da vítima fazia sentido contextual antes de autorizar uma ação sensível.
O pesquisador chamou sua solução de Fake Context Alignment, ou Alinhamento de Contexto Falso. A ideia é criar duas ilusões simultâneas, para o sistema de segurança, parece que o Gemini pediu permissão e o usuário concordou. Enquanto isso, para a vítima, parece uma troca normal e inofensiva.
Isso foi feito de duas formas. Na primeira, o Gemini fazia a pergunta de autorização em um idioma que a vítima provavelmente não entende, como o chinês, e logo em seguida fazia uma pergunta inocente em português. A vítima estranhava o trecho em mandarim, mas respondia “Sim” pensando estar encerrando o resumo de notificações. O sistema de segurança, porém, associava esse “Sim” à pergunta em mandarim.
Na segunda técnica, o Gemini escondia a pergunta maliciosa dentro de um link clicável na tela. Como o assistente de voz não lê links em voz alta, a vítima ouvia apenas uma frase inocente, mas a tela exibia silenciosamente “Você quer abrir a janela?”. Ao responder “Sim” à pergunta falada, a vítima autorizava a ação sem saber.
Com essa barreira superada, os impactos foram graves
O pesquisador demonstrou que era possível controlar dispositivos conectados à conta Google Home da vítima, incluindo janelas, aquecedores e iluminação. Também foi possível abrir URLs externas, o que pode ser usado para descobrir o endereço IP e a localização da vítima.
Em outro teste, um domínio legítimo foi configurado para redirecionar para um link que abria o Zoom automaticamente, ingressava numa sala específica e ativava a câmera do celular. O Gemini seguiu o redirecionamento sem alertar a vítima.
Além disso, o ataque conseguiu algo que os testes anteriores não alcançaram, que é adulterar a memória de longo prazo do assistente. Como essa memória é vinculada à conta Google da vítima, a informação falsa se espalharia para todos os dispositivos onde ela usa o Gemini, incluindo tablet, computador e caixas de som inteligentes.
O pesquisador também demonstrou a criação de tarefas recorrentes, como fazer o Gemini ler as mensagens da vítima todos os dias às 20h.
O Google corrigiu as vulnerabilidades
A SafeBreach reportou os problemas ao programa de recompensas de segurança do Google em agosto de 2025. Em novembro de 2025, o Google confirmou que atualizações no classificador de conteúdo do servidor bloquearam os ataques. Por ser uma correção do lado do servidor, não há atualização de aplicativo a ser instalada.
Quem quiser se proteger pode desativar o recurso Utilidades do Gemini nas configurações de apps conectados, ou revogar a permissão de leitura de notificações do Google no Android. Não há evidências de que a técnica tenha sido usada em ataques reais.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.