De stille AI-kaping op je Android-telefoon

Het enige wat de aanvaller hoefde te doen, was een bericht sturen met daarin verborgen commando’s. Zodra Gemini dat bericht ‘zag’, slikte het die commando’s als zoete koek.

Vals vertrouwen winnen: de Fake Context Alignment

Google had al eerder van SafeBreach geleerd dat dit soort trucs bestonden. Bij een vorige hack was een kwaadaardige Google Calendar-uitnodiging de boosdoener. Google patchte het systeem toen door ‘gekoppelde acties’ en ‘uitgestelde opdrachten’ te blokkeren . Kortom, de deur leek op slot.

Maar onderzoeker Or Yair vond een gaatje. Zijn ‘Fake Context Alignment’-techniek draaide om één simpel principe: dubbelspel .

• Voor de beveiliging van Gemini zag de interactie er volkomen legitiem uit. Het leek alsof jij, de gebruiker, toestemming gaf.
• Voor jou als gebruiker gebeurde er ondertussen niets geks. Je zag een normale melding of conversatie. Geen flitsende pop-ups, geen rare vragen.

Hoe kregen ze dat voor elkaar? De aanvallers verstopten de kwaadaardige opdrachten op plekken die een mens negeert, maar een AI wel leest. In een regel buitenlandse tekst, in een onzichtbare hyperlink, of in een stilgezette melding. Als jij daarna doodleuk via spraak of typetekst een normaal antwoord gaf, behandelde Gemini dat onbedoeld als jouw fiat voor de verborgen missie. SafeBreach doopte het resultaat hiervan de ‘Ultimate Combo’-aanval, die met hoge betrouwbaarheid alle Google-barrières omzeilde .

Wat kon een aanvaller daar nu echt mee?

Dat de onderzoekers niet bleven hangen in theorie, bewijzen de vijf indrukwekkende demonstraties .

1. Jouw slimme huis wordt van hem

Zodra Gemini onder controle stond, kon een aanvaller je Google Home-apparaten aansturen. Ramen openzetten, de boiler bedienen, lampen laten knipperen – alsof er iemand in je huis rondliep. Digitale inbraak met fysieke gevolgen .

2. Stiekem op camera via Zoom

Dit was misschien wel het engste voorbeeld. De aanvaller kon de Zoom-app opstarten en een gesprek beginnen dat stiekem jouw live camerabeeld streamde. Alles verliep via een omleidingslink (een 301 HTTP redirect) van een domein dat door Google’s Safe Browsing als veilig was goedgekeurd. Jij zag niks geks op je scherm, maar een kwaadwillende kon meekijken .

3. Valse herinneringen planten

Gemini heeft een langetermijngeheugen dat meekijkt op al je Google-apparaten. De onderzoekers konden dat geheugen vergiftigen. Een vals stukje informatie – bijvoorbeeld een veranderd adres, een bankrekeningnummer, of een nep-afspraak – verspreidde zich dan razendsnel naar je tablet, computer en slimme speakers. Voortaan gaf Gemini jou (en anderen) verkeerde info op basis van die ene melding .

4. Nepberichten van je baas of partner

Met toegang tot het meldingenpaneel van je telefoon kon de aanvaller echte afzendernamen achterhalen. Vervolgens kon Gemini nepberichten fabriceren die zogenaamd van jouw leidinggevende, collega of familielid kwamen. De ideale basis voor grootschalige phishing zonder dat de aanvaller ook maar iets van jouw contacten wist .

5. Dagelijkse automatische surveillance

Wie eenmaal binnen is, wil er blijven. De onderzoekers stelden een repeterende taak in, waarbij Gemini elke dag stilletjes jouw recente berichten uitleest en doorstuurt. Een volledig zelfonderhoudend spionagesysteem, opgezet met één slim berichtje .

Hoe het afliep: de tijdlijn

Dit alles klinkt als een cyberthriller, maar het verhaal heeft gelukkig een verantwoord einde. SafeBreach meldde de kwetsbaarheid netjes bij Google via een Vulnerability Reward Program (VRP):

• 17 augustus 2025: SafeBreach meldt de melding-gebaseerde injectie en Fake Context Alignment aan Google .
• 14 november 2025: Google bevestigt dat updates in hun filtertechnologie de trucs effectief blokkeren .
• 3 juni 2026: SafeBreach publiceert het volledige technische rapport. Er is geen bewijs dat deze specifieke aanvalsmethode ooit echt is gebruikt, en er is geen CVE (officiële code) voor deze interne vondst uitgebracht .

Een fundamentele waarschuwing

De patch van Google sluit dit specifieke lek, maar de boodschap blijft hangen. Hoe behulpzamer AI-assistenten worden door onze berichten, agenda en e-mail te scannen, hoe meer onbetrouwbare data-stromen ze moeten verwerken. SafeBreach gaf met dit onderzoek een blauwdruk voor het verharden van de volgende generatie AI-agents tegen een dreiging die begint met niets meer dan een schijnbaar onschuldig berichtje.