WhatsApp et Slack auraient pu détourner Gemini pour espionner votre téléphone

Des chercheurs de la société SafeBreach ont mis en évidence une vulnérabilité dans Google Gemini sur Android. Une notification piégée, envoyée depuis WhatsApp, Slack, SMS, Signal ou Messenger, suffisait à manipuler l'assistant vocal sans qu'aucune application malveillante ne soit installée sur l'appareil ciblé.

Google a depuis corrigé la faille. Le chercheur Or Yair, auteur de la découverte, précise qu'aucune exploitation de cette technique n'a été observée en conditions réelles.

Une faille dans la lecture des notifications

Sur Android, Gemini dispose d'une fonctionnalité appelée Utilities qui lui permet de lire et de répondre aux notifications d'applications tierces. Or Yair a constaté que l'agent chargé de traiter ces notifications les interprète comme des instructions exécutables.

Toute application capable d'envoyer une notification peut donc servir de vecteur d'attaque. Le chercheur qualifie cette surface d'attaque de potentiellement sans limite, puisqu'elle englobe l'ensemble des applications présentes sur l'appareil. Cette vulnérabilité est spécifique à Android : la fonctionnalité Utilities n'existe pas sur iOS ni sur le web.

Parmi les scénarios identifiés figurent la falsification d'un message vocal attribué à un contact réel, le déclenchement d'un appel Zoom à l'insu de l'utilisateur, ou encore le contrôle d'équipements connectés via Google Home, comme des fenêtres motorisées ou un chauffe-eau.

Contourner les protections de Google

Google avait renforcé Gemini après une précédente recherche de SafeBreach reposant sur des invitations Google Calendar malveillantes. Or Yair a néanmoins trouvé un moyen de contourner ces nouvelles protections, via une technique qu'il a nommée Fake Context Alignment.

Cette méthode repose sur deux leurres simultanés. Dans une variante, Gemini pose une question d'autorisation dans une langue que l'utilisateur ne comprend pas, par exemple en chinois, puis enchaîne en anglais avec une phrase anodine.

L'utilisateur répond "oui" à la phrase anodine, et le système associe cette confirmation à la question en chinois. Dans une autre variante, la question sensible est dissimulée dans un lien hypertexte que l'assistant ne lit pas à voix haute, mais que le système de vérification prend en compte.

Persistance et suivi à distance

Au-delà du contrôle immédiat de l'appareil, la technique permettait également d'empoisonner la mémoire à long terme de Gemini. Contrairement à une faille précédente limitée à l'appareil, celle-ci affecte le compte utilisateur : une fausse information enregistrée se retrouve sur tous les appareils connectés au même compte.

D'autres impacts ont été démontrés, notamment l'ouverture d'URL permettant de géolocaliser la victime via son adresse IP, le déclenchement de téléchargements de fichiers, et la mise en place de tâches planifiées récurrentes, comme la lecture automatique des messages récents chaque soir.

Correction déployée, action possible côté utilisateur

SafeBreach a transmis ses conclusions au programme de récompenses de vulnérabilités de Google le 17 août 2025. Google a confirmé le 14 novembre 2025 que des améliorations apportées à son classificateur de contenu côté serveur neutralisaient les deux vecteurs d'attaque identifiés.

Aucune mise à jour d'application n'est nécessaire pour bénéficier du correctif. Les utilisateurs souhaitant se prémunir d'exploitations similaires peuvent désactiver la fonctionnalité Utilities dans les paramètres de Gemini, ou retirer l'autorisation de lecture des notifications accordée à l'application Google dans les réglages Android.

Source : Thehackernews