Корпорация Google устранила критическую уязвимость в операционной системе Android, которая позволяла злоумышленникам обходить экран блокировки и отправлять текстовые сообщения через голосовой ассистент Gemini без обязательного ввода PIN-кода. Данная проблема затрагивала мобильные устройства под управлением Android 16, на которых была активирована функция предоставления доступа к возможностям помощника непосредственно с заблокированного экрана.
Суть технического сбоя заключалась в некорректной обработке интерфейса при попытке ассистента запросить системные разрешения на использование сторонних приложений. Если владелец смартфона ранее вручную отозвал у Gemini доступ к стандартному приложению Сообщения, а посторонний человек инициировал отправку SMS через заблокированный экран, операционная система выводила стандартный запрос на открытие соответствующего приложения. При обычном нажатии кнопки Продолжить система закономерно требовала прохождения аутентификации посредством ввода пароля или биометрических данных.
Однако независимые исследователи безопасности обнаружили критический недостаток: одновременное нажатие кнопки Продолжить и кнопки Добавить вложение в интерфейсе голосового помощника активирует специфический и недокументированный жест мультитач. Этот сбой в программной логике позволял полностью обойти экран аутентификации, предоставляя неавторизованному пользователю с физическим доступом к телефону возможность беспрепятственно отправлять SMS-сообщения или инициировать голосовые звонки через сторонние мессенджеры.
Представители Google официально подтвердили получение множественных отчетов об данной уязвимости. Компания классифицировала инцидент как известную программную ошибку, однако разработка исправления потребовала несколько недель. Патч, полностью устраняющий эту уязвимость, будет включен в состав планового обновления безопасности на этой неделе и направлен на поэтапную развертку на устройствах конечных пользователей.
Несмотря на требование непосредственного доступа к устройству для реализации атаки, подобный сценарий представляет собой серьезную угрозу конфиденциальности персональных данных, так как позволяет посторонним лицам использовать доверенное устройство жертвы для скрытой коммуникации от ее имени. Данный инцидент в очередной раз подчеркивает потенциальные риски, связанные с предоставлением расширенных системных привилегий алгоритмам искусственного интеллекта.