Yeni bir dolaylı istem enjeksiyonu (IPI) saldırı sınıfı Google Gemini’ın sesli asistanını hedef alıyor. Bu sınıf, saldırganların WhatsApp, Slack, Signal, SMS, Instagram ve Messenger gibi günlük mesajlaşma uygulamalarıyla gönderilen kötü amaçlı veriler aracılığıyla YZ’yi sessizce ele geçirmesine olanak tanıyor.
SafeBreach Güvenlik Araştırma Ekibi Lideri Or Yair’in yönettiği araştırma, şirketin daha önce Google Takvim davetiyelerini Gemini’a karşı bir silaha dönüştüren “Invitation Is All You Need” başlıklı ifşaatına dayanıyor.
Bu kez saldırı yüzeyi çok daha geniş. Cihaz bildirimi tetikleyebilen herhangi bir uygulama, saldırı için kullanılabilecek geçerli bir vektöre dönüşüyor.
Google Gemini Açığı Suistimal Edildi
Temel açık, Gemini’nin Android Utilities ajanından, özellikle de gelen bildirimleri okuyan araçtan yararlanıyor. Araç üçüncü taraf uygulamalardan gelen güvenilmeyen verileri işlediği için bir saldırgan kötü amaçlı talimatları doğrudan özel olarak hazırlanmış bir mesajın içine yerleştirebiliyor.
Gemini zehirli bildirimi okuduğu anda, kullanıcının bilgisi olmadan saldırganın komutlarını konuşma bağlamına sessizce dahil ediyor.
Harici araçları çağırmadan bile, bildirim tabanlı bu dolaylı istem enjeksiyonu (IPI), saldırganların Gemini’ın çıktısını tamamen kontrol etmesini sağlayan bir bağlam zehirlenmesine yol açıyor. Manipüle edilmiş bir asistan örneğin güvenilir bir YZ arayüzü üzerinden klasik bir kimlik avı tuzağı olan şu sahte sistem mesajını iletebilir: “Bir hata oluştu – yenilemek için buraya tıklayın.”
Fake Context Alignment: Google’ın Savunmalarını Atlatmak
Google, daha önceki açıkları zincirleme araç çağrılarını ve Delayed Tool Invocation yöntemini engelleyerek kapattıktan sonra SafeBreach araştırmacıları, Fake Context Alignment adını verdikleri yeni bir atlatma tekniği geliştirdi.
Teknik, Gemini’ın arka uç güvenlik mekanizmalarına meşru bir yetkilendirme senaryosu sunarken kurbana tamamen zararsız bir etkileşim gösteriyor ve böylece çifte bir illüzyon yaratıyor.
İki teknik gösterildi:
- Obfuscated Fake Context Alignment: Gemini, yabancı bir dilde (örneğin Çince: “你想打开窗户吗?” yani “Pencereyi açmak ister misiniz?”) kötü amaçlı bir yetkilendirme sorusu ekliyor ve hemen ardından zararsız bir İngilizce soru getiriyor. Kullanıcı İngilizce komuta “Evet” yanıtını verirken, arka uç bu olumlu yanıtı gizli Çince talimatla eşleştirerek aracın çalışmasını tetikliyor.
- Muted Fake Context Alignment: Kötü amaçlı soru, Gemini’ın metinden sese motorunun sessizce atladığı tıklanabilir bir bağlantı metni olarak gömülüyor. Kullanıcı yalnızca zararsız bir sesli komut duyuyor ve “Evet” yanıtını vererek bilmeden bir araç çağrısını onaylıyor.
Her iki tekniği bir “Ultimate Combo” veri paketinde birleştirmek, araştırmacıların yüksek bir güvenilirlikle ve kullanıcının neredeyse hiçbir şey fark etmeyeceği şekilde Google’ın en son önlemlerinin tümünü atlatmasını sağladı.
Delayed Tool Invocation özelliğinin yeniden etkinleştirilmesiyle araştırmacılar, bir dizi yüksek riskli suistimali gözler önüne serdi. Akıllı ev teknolojisinin ortaya çıkışı; pencereler, kombiler ve aydınlatma gibi bağlı cihazların Google Home üzerinden uzaktan kontrol edilmesi gibi çeşitli suistimal biçimlerini kolaylaştırdı.
Ayrıca, bir saldırganın Zoom’u açılmaya zorlayabildiği ve kurbanın kamerasını Safe Browsing onaylı bir alandan gelen bir 301 HTTP yönlendirmesi vasıtasıyla canlı olarak yayınlayabildiği gizli video akışı gibi endişe verici taktikler bulunuyor.
Bildirim kuyruğundan gerçek gönderici adlarını çekerek, bu kişilerin isimlerini önceden bilmeye gerek kalmadan güvenilen kişilerden gelmiş gibi sahte mesajlar üreten büyük ölçekli sosyal mühendislik planları yükselişte.
Dahası, kurbanın tüm Google Workspace hesabı genelindeki tabletleri, bilgisayarları ve akıllı hoparlörleri etkileyecek şekilde Gemini’ın uzun vadeli hafızasına yanlış bilgiler enjekte etmeyi içerdiğinden, kalıcı bellek zehirlenmesi kritik bir sorun haline geldi.
Son olarak, zamanlanmış gözetleme taktikleri, kullanıcının son mesajlarını her gün otomatik olarak okuyan ve mahremiyeti ile güvenliğini daha da tehlikeye atan yinelenen görevlerin kurulmasına izin veriyor.
SafeBreach, bulguları 17 Ağustos 2025’te Google’ın Vulnerability Reward Program ekibine bildirdi. Google, 14 Kasım 2025’te güncellenen içerik sınıflandırıcı iyileştirmelerinin araştırmada açıklanan dolaylı istem enjeksiyonu ve Delayed Tool Invocation senaryolarını başarıyla giderdiğini doğruladı.
Kaynak: https://cybersecuritynews.com/google-gemini-vulnerability-exploited/
