Android版Google Geminiが通知を悪用されハイジャックされる脆弱性

概要

セキュリティ研究者Or Yairが、WhatsAppやSlackなどのアプリからの通知を悪用してAndroid版Google Geminiの音声アシスタント機能をハイジャックする脆弱性を発見しました。攻撃者は悪意あるアプリをインストールさせることなく、単一の毒性通知を送信するだけで、被害者のウィンドウを開く、上司になりすまして指示する、Zoomに自動参加させるなど実害を与えることができます。攻撃表面は「ほぼ無限」に広がっています。Google は「Fake Context Alignment」と名付けられた新しい回避方法に対して既にパッチを適用済みですが、野生での悪用例はまだ報告されていません。この脆弱性はAndroid版のみで、iOS版やWeb版には影響しません。

元記事（The Hacker News）