Gemini: Prompt Injection über Android-Benachrichtigungen

Dein Sprachassistent gehorcht dir — dachtest du. Sicherheitsforscher von SafeBreach haben jetzt im Detail offengelegt, wie sich Googles Gemini auf Android mit simplen Nachrichten kapern ließ: per WhatsApp, Slack, Signal, SMS, Instagram oder Messenger. Keine Schadsoftware nötig — eine einzige vergiftete Benachrichtigung reichte.

UNGLAUBLICH: Die Benachrichtigung wird zum Befehl

Der Trick setzt bei Geminis Android-Utilities-Agent an — dem Werkzeug, das eingehende Benachrichtigungen vorliest und zusammenfasst. Genau hier liegt die Schwachstelle: Der Agent verarbeitet ungeprüfte Texte fremder Apps als Kontext. Versteckt ein Angreifer Anweisungen in einer Nachricht, behandelt die KI sie wie legitime Befehle. Fachbegriff: Indirect Prompt Injection.

SCHOCK-LISTE: Das konnten die Angreifer

Die Forscher demonstrierten ein ganzes Arsenal: Smart-Home-Geräte schalten, ungefragt Video-Streams starten, gefälschte Nachrichten im Namen vertrauter Kontakte erzeugen — und am gruseligsten: das Langzeitgedächtnis von Gemini vergiften. Manipulierte „Erinnerungen“ wirken dauerhaft nach, selbst wenn die ursprüngliche Nachricht längst gelöscht ist.

Katz und Maus mit Google

Google hatte frühere Injection-Tricks bereits blockiert. Die Forscher konterten mit einer neuen Technik namens „Fake Context Alignment“: Sie gaukelt Geminis Sicherheitsmechanismen ein legitimes Autorisierungs-Szenario vor, während das Opfer nur eine harmlose Interaktion sieht. Gemeldet wurde das Ganze über Googles Bug-Bounty-Programm im August 2025, als hochprio eingestuft — und im November 2025 per verbesserter Inhalts-Klassifizierer entschärft. Die vollständige Forschung ist erst jetzt öffentlich.

FAZIT: KI-Agenten brauchen Misstrauen

Die gute Nachricht: Die konkreten Lücken sind geschlossen. Die schlechte: Das Grundproblem bleibt. Sobald ein KI-Agent fremde Inhalte als Kontext liest — Benachrichtigungen, Mails, Kalendereinträge — wird jeder Absender zum potenziellen Angreifer. Überlege dir deshalb gut, welche Berechtigungen dein Assistent bekommt. Bequemlichkeit ist super — aber dein Smart Home sollte nicht auf Zuruf von Fremden tanzen.

Häufige Fragen

Bin ich aktuell noch gefährdet?

Die von SafeBreach demonstrierten Angriffe wurden von Google laut eigener Bestätigung im November 2025 durch verbesserte Inhalts-Klassifizierer entschärft. Wer Gemini und Android aktuell hält, ist gegen diese konkreten Techniken geschützt. Die Angriffsklasse Indirect Prompt Injection bleibt aber ein generelles Risiko für alle KI-Assistenten.

Wie funktionierte der Angriff genau?

Gemini kann auf Android eingehende Benachrichtigungen lesen und zusammenfassen. Eine präparierte Nachricht — etwa über WhatsApp oder Slack — enthielt versteckte Anweisungen, die der Assistent als legitime Befehle interpretierte. Eine bösartige App war nicht nötig; die Benachrichtigung selbst war das Einfallstor.

Was ist Gedächtnis-Vergiftung bei KI-Assistenten?

Gemini kann sich Fakten über dich dauerhaft merken. Beim Memory Poisoning schleust ein Angreifer falsche Erinnerungen ein — etwa manipulierte Vorlieben oder Anweisungen. Diese wirken bei späteren Anfragen weiter, lange nachdem die ursprüngliche Angriffs-Nachricht verschwunden ist, und sind für Nutzer schwer zu entdecken.

Wie schütze ich mich vor solchen Angriffen?

Halte System und Apps aktuell, prüfe in den Gemini-Einstellungen, welche Apps und Utilities der Assistent nutzen darf, und schau regelmäßig in die gespeicherten Erinnerungen. Sei generell zurückhaltend damit, KI-Agenten weitreichende Berechtigungen wie Benachrichtigungszugriff plus Smart-Home-Steuerung gleichzeitig zu geben.

Quellen: SafeBreach Original Research · The Hacker News · Dark Reading

HANDY-SPUK! Vergiftete WhatsApp-Nachrichten kaperten Gemini — und steuerten heimlich das Smart Home