Gemini podia ser hackeado por mensagens do WhatsApp e SMS e a vítima nem precisava abrir o celular

O ataque que vinha embutido numa mensagem comum

Pesquisadores da empresa de segurança SafeBreach descobriram uma forma de sequestrar o Google Gemini usando notificações de aplicativos do dia a dia WhatsApp, Slack, Signal, Instagram e até SMS. A técnica não exigia instalar nenhum aplicativo malicioso no celular da vítima.

O ponto de entrada era o recurso Utilidades do Gemini, que lê notificações em voz alta útil para quem está dirigindo, por exemplo. O problema: o assistente tratava o conteúdo das mensagens como instruções legítimas, e não como texto de terceiros. Qualquer pessoa capaz de enviar uma notificação conseguia embutir comandos disfarçados nela.

O que um invasor conseguia fazer

Sem que a vítima abrisse nada, o ataque permitia:

• Manipular o que o Gemini dizia em voz alta o assistente podia anunciar mensagens falsas atribuídas a contatos reais. Imagine ouvir seu próprio assistente dizer que seu chefe pediu para enviar um arquivo para determinada pasta, enquanto você dirige.
• Controlar dispositivos inteligentes conectados ao Google Home, como janelas, aquecedores e iluminação.
• Abrir videochamadas sem autorização em um dos testes, o Gemini abriu o Zoom automaticamente, entrou em uma sala específica e ativou a câmera.
• Adulterar a memória permanente do assistente como essa memória é vinculada à conta Google, a informação falsa se espalharia para todos os dispositivos da vítima: tablet, computador e caixas de som inteligentes.

Como os pesquisadores driblaram as proteções

O Google já tinha uma camada de proteção que exigia confirmação do usuário antes de executar ações sensíveis. Os pesquisadores criaram técnicas para enganar tanto o sistema quanto a vítima ao mesmo tempo.

Em uma delas, o Gemini fazia a pergunta de autorização em mandarim e, logo em seguida, fazia uma pergunta inocente em português. A vítima respondia "Sim" pensando estar encerrando o resumo mas o sistema associava a resposta à pergunta em chinês.

Em outra técnica, a pergunta maliciosa ficava escondida dentro de um link na tela. O assistente não lê links em voz alta, então a vítima ouvia uma frase inofensiva, mas ao responder "Sim" autorizava a ação sem perceber.

O Google já corrigiu

A SafeBreach reportou as vulnerabilidades ao Google em agosto de 2025. Em novembro do mesmo ano, o Google confirmou que atualizações no classificador de conteúdo do servidor bloquearam os ataques. Por ser uma correção do lado do servidor, não há nenhuma atualização de aplicativo a instalar.

Não há evidências de que a técnica tenha sido usada em ataques reais até o momento.

O que você pode fazer agora

Mesmo com a correção aplicada, quem quiser uma camada extra de controle pode desativar o recurso Utilidades do Gemini nas configurações de apps conectados, ou revogar a permissão de leitura de notificações do Google no Android.

O caso reforça uma lição importante: assistentes de voz com acesso a dispositivos conectados e contas integradas representam uma superfície de ataque crescente. Em ambientes corporativos onde celulares acessam e-mails, sistemas internos e grupos de trabalho manter políticas claras de permissões e monitoramento de endpoints faz toda a diferença.