La ricerca pubblicata da SafeBreach il 3 giugno 2026 mette il dito in un punto che su Android rischia di passare inosservato: non serve installare un’app malevola se l’assistente AI legge come contesto una notifica costruita apposta. Nel caso studiato, Gemini Voice Assistant poteva essere manipolato tramite messaggi da WhatsApp, Slack, SMS, Signal, Instagram o Messenger. Google dice di avere gia’ mitigato il problema lato server con aggiornamenti ai classificatori, ma il punto pratico resta: le notifiche sono ormai input non fidato, non semplice arredamento della tendina.
Il nome tecnico e’ indirect prompt injection: istruzioni ostili nascoste dentro contenuti che il modello deve leggere, riassumere o usare per decidere un’azione. SafeBreach chiama la variante piu’ interessante Fake Context Alignment: l’assistente viene portato a mostrare o registrare dietro le quinte una richiesta sensibile, mentre all’utente arriva una domanda innocua. Se l’utente risponde “si'”, il sistema puo’ interpretare quel consenso come autorizzazione all’azione sbagliata. E qui il problema smette di essere accademico, perche’ Gemini su Android puo’ interagire con notifiche, app collegate e, in certi scenari, anche strumenti esterni.
Secondo il report, i ricercatori hanno dimostrato effetti come manipolazione delle risposte, phishing vocale attribuito a contatti fidati, apertura di URL, passaggio verso app esterne, controllo di dispositivi Google Home e avvelenamento della memoria a lungo termine dell’assistente. Dark Reading e TechRepublic riportano che non ci sono evidenze di sfruttamento reale e che Google ha chiuso la falla dopo disclosure responsabile: segnale importante, ma non sufficiente per archiviare il tema con un “tutto a posto”. In un assistente con permessi larghi, il raggio d’azione cresce con ogni integrazione comoda.
La lettura AndroidLab e’ semplice: il rischio non e’ “Gemini cattivo”, e’ contesto confuso. Un messaggio ricevuto da terzi e’ dato esterno; una richiesta dell’utente e’ comando. Se finiscono nello stesso frullatore conversazionale, la comodita’ diventa superficie d’attacco. E siccome molti useranno l’assistente proprio quando non guardano lo schermo, per esempio in auto o con le mani occupate, la voce aumenta il problema: senti una sintesi ordinata, non il payload nascosto che l’ha influenzata. Comodo, certo. Anche una porta senza serratura e’ comoda, finche’ non passa il primo curioso.
Cosa controllare subito su Android
Primo controllo: apri Gemini e verifica le app collegate. Se non usi davvero integrazioni come WhatsApp, Utilities o servizi Workspace dentro l’assistente, disattivale. Google stessa documenta che l’integrazione WhatsApp puo’ essere gestita dalla pagina App nelle impostazioni Gemini e che l’assistente puo’ lavorare sulle notifiche invece di leggere direttamente la cronologia WhatsApp.
Secondo controllo: vai nelle impostazioni Android dell’app Google o Gemini e guarda i permessi legati a notifiche, contatti, telefono e dispositivi vicini. La regola da sistemista, noiosa ma sana, e’ minimo privilegio: se una funzione non serve ogni settimana, non merita accesso permanente. Non e’ paranoia, e’ igiene operativa.
Terzo controllo: quando Gemini propone un’azione che tocca messaggi, link, casa intelligente, calendario o riunioni, fermati un secondo. Se la domanda sembra scollegata dalla tua richiesta, se compare una lingua inattesa, se l’assistente apre strumenti che non hai nominato o se chiede conferme vaghe, chiudi la sessione e riparti. La conferma umana vale solo quando l’umano capisce davvero cosa sta confermando.
Mini runbook anti prompt injection
- Disattiva le integrazioni Gemini che non usi: soprattutto messaggistica, Utilities e automazioni domestiche.
- Riduci i permessi dell’app Google/Gemini alle funzioni indispensabili.
- Evita di chiedere all’assistente di leggere notifiche miste se aspetti messaggi sensibili o link di lavoro.
- Non rispondere “si'” a una domanda dell’assistente se non e’ chiarissimo quale azione stai autorizzando.
- Controlla periodicamente la memoria di Gemini e cancella voci strane, obsolete o mai autorizzate.
- Per smart home, chiamate, messaggi e riunioni, preferisci sempre una conferma esplicita sullo schermo.
Chi sviluppa app Android con componenti AI dovrebbe leggere anche le linee guida Android Developers sulla mitigazione della prompt injection: dati esterni marcati come non fidati, output validato, permessi ridotti e conferme umane per azioni rischiose. Tradotto in linguaggio meno da slide: non basta dire al modello “comportati bene”; bisogna progettare il sistema assumendo che prima o poi qualcuno gli mettera’ davanti testo ostile travestito da contenuto normale.
Cosa cambia davvero
Per l’utente finale non cambia il calendario degli aggiornamenti: Google parla di mitigazione server-side, quindi non c’e’ una patch manuale da installare per questo caso specifico. Cambia pero’ il modo in cui conviene usare gli assistenti mobili. Gemini, Assistant, Copilot o qualunque altro strato agentico sul telefono non vanno trattati come una tastiera piu’ furba, ma come componenti con accesso operativo. Piu’ leggono e piu’ possono agire, piu’ bisogna separare cio’ che arriva dal mondo esterno da cio’ che hai deciso tu.
Questo e’ anche il punto del filone AndroidLab AI Lab: l’AI utile non si misura solo da quante cose automatizza, ma da quanto bene tiene separati fonti, permessi, contesto e responsabilita’. Una redazione aumentata, un telefono aumentato o una casa aumentata hanno lo stesso problema di base: se l’automazione non sa distinguere comando e rumore, prima o poi qualcuno trasformera’ il rumore in comando.
Correlato: su AndroidLab abbiamo gia’ affrontato il tema degli agenti con Project Solara su Android AOSP e quello della protezione avanzata con Android Advanced Protection. Il filo e’ lo stesso: l’assistente puo’ essere utile, ma solo se il perimetro e’ esplicito.
In breve
- SafeBreach ha pubblicato il 3 giugno 2026 una ricerca su Gemini Voice Assistant e notifiche Android.
- La tecnica sfruttava messaggi/notifiche come vettore di prompt injection, senza installare malware sul telefono.
- Google ha mitigato il problema con aggiornamenti ai classificatori e non risultano abusi reali noti.
- Il controllo pratico e’ ridurre permessi, app collegate e accesso alle notifiche quando non indispensabili.
- Il problema piu’ ampio e’ progettuale: ogni assistente agentico deve trattare i contenuti esterni come dati ostili fino a prova contraria.
Fonti
- SafeBreach Labs – Gemini’s Secret Affair: Exploiting Gemini Voice Assistant Through Instant Messaging Apps (3 giugno 2026)
- Dark Reading – Malicious Notifications Could Trick Google Gemini Users (3 giugno 2026)
- TechRepublic – Malicious WhatsApp, Slack Alerts Could Have Exposed Millions of Android Users (4 giugno 2026)
- Google Gemini Apps Help – WhatsApp with Gemini mobile app on Android (consultata il 5 giugno 2026)
- Android Developers – Mitigate prompt injection attacks (ultimo aggiornamento 21 aprile 2026)