Torna al Blog

( ✦ )Articolo

Gemini dirottato da una notifica

6 MIN DI LETTURA

Questa settimana i ricercatori di SafeBreach hanno reso pubblica una falla che riguarda Gemini, l'assistente IA di Google integrato negli smartphone Android. Il punto che fa rizzare i capelli: per dirottare l'assistente non serviva un'app malevola, un permesso strano o un clic della vittima. Bastava una notifica. Un messaggio in arrivo da WhatsApp, Slack, Signal, SMS, Instagram o Messenger, costruito ad arte, poteva impartire ordini all'IA all'insaputa del proprietario del telefono.

Google ha già corretto il problema (lo vediamo più sotto), quindi non c'è un allarme da "aggiorna subito o sei spacciato". Vale però la pena capire come funzionava, perché racconta una categoria di rischio che con gli assistenti IA diventerà sempre più comune, anche per chi un'azienda la manda avanti dal telefono.

Cosa è successo, in pratica

Gemini su Android può leggere le notifiche in arrivo per esserti utile: te le riassume, ti propone una risposta, ti ricorda l'appuntamento. Per farlo si appoggia a uno strumento interno che pesca il testo delle notifiche dalle altre app. Il problema è che quel testo arriva da terzi e non è affidabile per definizione: chiunque ti scrive decide cosa c'è dentro.

I ricercatori hanno sfruttato esattamente questo. Dentro un messaggio apparentemente innocuo nascondevano istruzioni rivolte non a te, ma a Gemini: comandi camuffati in un'altra lingua o dentro link silenziosi, invisibili a un occhio distratto. Quando l'assistente leggeva la notifica, eseguiva quelle istruzioni come se gliele avessi date tu.

Questo tipo di attacco ha un nome tecnico: prompt injection indiretta. "Indiretta" perché l'ordine all'IA non lo dà l'attaccante a voce, ma lo infila dentro un contenuto che l'IA leggerà per conto suo. È la stessa famiglia di trucchi con cui, mesi fa, lo stesso gruppo aveva piegato Gemini usando un invito del calendario.

Cosa poteva fare un attaccante

Una volta dirottato, l'assistente poteva compiere azioni reali, non solo dire sciocchezze:

  • Controllare la casa connessa tramite Google Home: luci, serrature, dispositivi collegati.
  • Avviare videochiamate, ad esempio aprire una chiamata Zoom senza che tu lo chiedessi.
  • Scrivere messaggi falsi che sembravano partire da te, verso i tuoi contatti.
  • Avvelenare la memoria a lungo termine dell'assistente, lasciando istruzioni che restavano attive anche dopo, una forma di controllo persistente.

Il rischio cresceva nelle situazioni a mani libere, tipo l'uso in auto: lì ti fidi della voce e non guardi lo schermo, quindi non hai modo di accorgerti che qualcosa di strano sta accadendo.

Il dettaglio che conta: aggirare le difese già esistenti

Google non era impreparata. Aveva già messo barriere contro questo genere di abusi, per esempio impedendo all'IA di concatenare più azioni in autonomia. I ricercatori hanno trovato il modo di scavalcarle con una tecnica che hanno chiamato Fake Context Alignment: in sostanza, presentavano a Gemini una scena che ai suoi controlli di sicurezza sembrava un'autorizzazione legittima, mentre all'utente mostravano un'interazione del tutto innocua. Doppio inganno: il sistema crede di essere a posto, la vittima pure.

È il punto più istruttivo di tutta la vicenda. Le difese contro la prompt injection non sono un interruttore acceso/spento: sono una rincorsa continua tra chi attacca e chi protegge. Vale per Gemini come per qualsiasi assistente IA collegato a strumenti che agiscono nel mondo reale.

Come è stata gestita

SafeBreach ha segnalato la falla a Google ad agosto 2025 attraverso il programma di ricompense per le vulnerabilità. Google ha confermato a metà novembre 2025 di averla mitigata, migliorando i classificatori che filtrano i contenuti prima che arrivino all'assistente. I dettagli tecnici sono diventati pubblici solo questa settimana, a correzione già distribuita. È il modo in cui dovrebbe funzionare la divulgazione responsabile: prima si chiude il buco, poi si racconta.

Perché interessa a chi gestisce un'azienda

Non perché domani un cliente ti hackerà le luci dell'ufficio. Ma perché questa storia anticipa un problema che diventerà quotidiano.

1. Gli assistenti IA non si limitano più a rispondere: agiscono. Mandano messaggi, aprono app, controllano dispositivi, ricordano cose. Più azioni gli affidi, più contano i contenuti che leggono. Un'IA che può solo chiacchierare fa pochi danni. Un'IA che può scrivere ai tuoi contatti per conto tuo è un'altra storia.

2. Il confine tra "contenuto" e "comando" si sta sciogliendo. Per anni abbiamo insegnato a non aprire allegati sospetti. Ora il pericolo può stare dentro il testo di un messaggio normale, scritto per l'IA e non per te. Le vecchie regole ("non cliccare se non conosci il mittente") restano valide ma non bastano più.

3. Concedere poteri all'assistente è una scelta, non un automatismo. Collegare Gemini, o qualsiasi assistente, alla casa connessa, alla messaggistica o al calendario aziendale è comodo. Ma ogni collegamento è una porta in più. Vale la pena decidere consapevolmente quali aprire, non lasciarle tutte spalancate perché "era già attivo così".

Cosa fare questa settimana, in concreto

  1. Tieni aggiornati telefono e app. Questa falla è chiusa, ma le correzioni arrivano solo a chi installa gli aggiornamenti. Vale per i dispositivi tuoi e per quelli dei collaboratori che usano il telefono per lavoro.
  2. Guarda cosa può toccare il tuo assistente IA. Apri le impostazioni di Gemini (o di chi usi) e controlla a quali servizi è collegato: messaggi, casa connessa, calendario, app. Stacca ciò che non ti serve davvero.
  3. Non lasciare che l'IA agisca senza conferma sulle cose che contano. Inviare messaggi, fare pagamenti, comandare dispositivi: dove puoi, tieni attiva la richiesta di conferma manuale. È un attimo di attrito che vale la sicurezza.
  4. Spiega ai tuoi la regola nuova. Non tutto il pericolo arriva da un allegato o da un link. A volte sta nel testo, scritto per ingannare l'assistente. Basta sapere che esiste per restare più attenti.

La nostra lettura

Questa non è la storia di un disastro: Google ha corretto, i ricercatori hanno fatto il loro mestiere, nessun attacco è stato osservato nel mondo reale. È la storia di dove stiamo andando. Gli assistenti IA diventano sempre più capaci di fare, e ogni nuova capacità è anche una nuova superficie d'attacco. La domanda da farsi non è "è sicuro?" ma "a cosa gli ho dato accesso, e ne valeva la pena?".

Per chi gestisce un'azienda il principio è lo stesso che ripetiamo sempre: la comodità va pesata contro il perimetro. Un assistente collegato a tutto è comodo finché non diventa il punto debole. Meglio pochi collegamenti scelti con criterio che un'IA tuttofare a cui hai consegnato le chiavi senza pensarci.

Se vuoi parlarne

Se in azienda state introducendo assistenti IA, sul telefono o dentro i vostri strumenti, e vi chiedete cosa sia ragionevole collegare e cosa no, è il tipo di ragionamento che facciamo volentieri. Si parte dal capire cosa vi serve davvero, non dallo spegnere tutto per paura. Sai dove trovarci.

( R )Registro dei lettori

05 NOTE
  1. Lorenzo Vitale

    La frase 'il confine tra contenuto e comando si sta sciogliendo' è quella che mi porto via. Per anni ho ripetuto ai dipendenti di non aprire allegati strani, ora scopro che il pericolo può stare dentro un messaggio di testo normale. Cambia il modo di spiegare la sicurezza alle persone.

  2. Chiara Benedetti

    Onestamente non sapevo nemmeno che Gemini leggesse le notifiche delle altre app. Sono andata a controllare le impostazioni sul telefono aziendale e ho staccato metà dei collegamenti che non usavo. Grazie per il promemoria pratico, non solo l'allarme.

  3. Antonio De Luca

    Apprezzo che abbiate sottolineato che Google ha già corretto e che nessun attacco è stato visto nel mondo reale. Troppi articoli su questi temi puntano solo a spaventare. Qui invece si capisce il meccanismo e cosa fare, senza panico.

  4. Martina Esposito

    Il punto sull'uso in auto mi ha fatto pensare. Io con Gemini ci parlo solo mentre guido, proprio quando non guardo lo schermo. È esattamente lo scenario peggiore descritto qui. D'ora in poi tengo la conferma manuale attiva sulle azioni importanti.

  5. Riccardo Fontana

    Domanda pratica: per una piccola impresa come la mia, conviene collegare l'assistente IA al calendario e alla messaggistica aziendale o è meglio tenerlo separato? Dal vostro articolo deduco 'pochi collegamenti scelti con criterio', ma mi piacerebbe un parere più specifico sul nostro caso.

Lascia una nota — nome e pensiero, nient'altro.

Il nome viene pubblicato accanto al commento. Nessun altro dato viene raccolto.