Neues Google-Gemini-Sicherheitsrisiko: Angriff über Prompt-Injection in WhatsApp, Slack und SMS

Gedämpfte falsche Kontextausrichtung: Die bösartige Frage wird als klickbarer Linktext eingebettet, den die Text-zu-Sprache-Engine Nutzer hört nur einen harmlosen Sprachprompt und autorisiert unbemerkt einen Tool-Aufruf, indem er auf „Ja" antwortet.

Die Kombination beider Techniken in einem „Ultimate Combo"-Payload ermöglichte es den Forschern, alle neuesten Gegenmaßnahmen ässigkeit und nahezu ohne Nutzerbeteiligung zu umgehen.

Mit der wiederhergestellten Funktion „Delayed Tool Invocation" demonstrierten die Forscher eine Reihe der Ausbeutung ermöglicht, etwa die Fernsteuerung vernetzter Geräte wie Fenster, Heizungen und Beleuchtung über Google Home.

Technik und Auswirkungen

Zudem gibt es alarmierende Taktiken wie heimliches Videostreaming, bei dem ein Angreifer Zoom zwingen kann, die Kamera des Opfers live über eine 301-HTTP-Umleitung genehmigten Domain zu streamen.

Große -Engineering-Kampagnen nehmen zu: Dabei werden Nachrichten ürdigen Kontakten erstellt, ohne dass die Namen dieser Kontakte im Voraus bekannt sind, indem echte Absender-Namen aus der Benachrichtigungs-Warteschlange extrahiert werden.

Darüber hinaus ist das persistente Memory-Poisoning zu einem kritischen Problem geworden, da dabei falsche Informationen in den Langzeitgedächtnisbereich über das gesamte Google Workspace-Konto des Opfers injiziert werden, was Tablets, Computer und Smart Speaker betrifft.

Einordnung fuer Autofahrer

Zuletzt ermöglichen geplante Überwachungstaktiken die Einrichtung wiederkehrender Aufgaben, die täglich automatisch die neuesten Nachrichten des Nutzers auslesen und so deren Privatsphäre und Sicherheit weiter gefährden. SafeBreach legte die Erkenntnisse am 17. August 2025 dem Google Vulnerability Reward Program vor. Google bestätigte am 14.

November 2025, dass verbesserte Inhalteklassifizierungen die indirekten Prompt-Injection- und Delayed Tool Invocation-Szenarien aus der Forschung erfolgreich abgewehrt haben. Kostenloser Webinar zum OWASP API Top 10 und Leitfaden zur Schließung ücken mit WAAP.

Der Beitrag „Neue Google Gemini-Schwachstelle wird über Prompt-Injections aus WhatsApp, Slack und SMS ausgenutzt" erschien erstmals auf