WhatsApp, Notifikasi Slack Bisa Membajak Google Gemini di Android

Kerentanan / Kecerdasan Buatan

Satu notifikasi beracun dari WhatsApp, Slack, SMS, Signal, Instagram, atau Messenger bisa saja membajak asisten suara Google Gemini di Android dan membuatnya membuka jendela korban yang terhubung, memalsukan pesan dari atasan mereka, memasukkan ponsel ke dalam panggilan Zoom, atau secara diam-diam meracuni memori jangka panjangnya.

Tidak diperlukan aplikasi berbahaya di ponsel. Asisten hanya perlu memperlakukan pemberitahuan yang tidak bersahabat sebagai konteks yang berguna.

Penelitian tersebut, yang dipublikasikan oleh SafeBreach's Or Yair, mengikuti penelitian tim sebelumnya yang bertajuk " Hanya Undangan yang Anda Butuhkan ", yang melakukan trik serupa melalui undangan Google Kalender yang berbahaya. Setelah itu, Google memperkuat Gemini terhadap injeksi langsung tidak langsung.

Yair menemukan jalan keluar dari pertahanan baru. Google telah menambalnya, SafeBreach tidak mencantumkan CVE untuk masalah ini, dan tidak ada bukti bahwa teknik tersebut pernah digunakan di alam liar.

Di Android, fitur Utilitas Gemini dapat membaca dan membalas notifikasi Anda, termasuk notifikasi dari aplikasi seperti WhatsApp. Ini tidak tersedia di iOS atau web, yang menjadikan vektor ini hanya untuk Android. Yair menemukan bahwa agen yang membaca notifikasi tersebut memperlakukan teks mereka sebagai instruksi yang dapat ditindaklanjuti. Jadi apa pun yang dapat mengirimkan pemberitahuan ke ponsel dapat mengirimkan muatan, sebuah serangan yang disebut Yair "secara efektif tak terbatas".

Minimal, hal ini memungkinkan penyerang menulis ulang apa yang dikatakan Gemini, termasuk memalsukan pesan dari kontak bernama. Diucapkan dengan lantang saat Anda mengemudi dan tidak melihat layar, "manajer Anda meminta Anda mengunggah dokumen ke folder Drive ini" sulit ditebak. Versi butanya lebih buruk: payload diaktifkan setelah Gemini memuat notifikasi nyata, sehingga ia dapat mengambil nama pengirim asli pertama dalam antrean dan menyematkan pesan palsu pada mereka.

Memalsukan keluaran adalah satu hal. Mengaktifkan alat nyata, seperti membuka jendela atau meluncurkan aplikasi, adalah hal yang ingin dihentikan oleh mitigasi pasca-"Undangan" Google. Bacaan Yair, dari pengujian kotak hitam: ketika "Ya" mengotorisasi tindakan sensitif, sebuah pemeriksaan akan mempertimbangkan balasan pengguna dan keluaran terakhir Gemini untuk memutuskan apakah "Ya" itu masuk akal. Menyuntikkan instruksi yang tertunda entah dari mana, dan Gemini selalu menolak.

Jadi jalan pintas tersebut, yang oleh Yair diberi nama Fake Context Alignment , menjalankan dua ilusi sekaligus: otorisasi yang tampak sah untuk pemeriksaan keamanan, pertukaran yang tidak berbahaya bagi manusia.

Dikaburkan. Gemini menanyakan pertanyaan otorisasi yang sebenarnya dalam bahasa yang tidak dapat digunakan oleh korban, misalnya dalam bahasa Mandarin ("Apakah Anda ingin membuka jendela?"), kemudian diikuti dalam bahasa Inggris dengan sesuatu yang tidak berbahaya seperti "Apakah hanya itu yang Anda perlukan?" Pengguna mengabaikan frasa asing sebagai kesalahan, mengatakan "Ya", dan backend mengaitkan "Ya" dengan pertanyaan berbahasa Mandarin.

Meredam. Text-to-speech Gemini melewatkan hyperlink yang tersembunyi di balik teks yang dapat diklik. Jadi pertanyaan jahat itu terkubur dalam tautan yang tidak pernah dibacakan oleh asisten tersebut. Gemini berkata, "Maaf, ada kesalahan, kamu di sana?" sementara layar diam-diam menampilkan "Apakah Anda ingin membuka jendela?" Pengemudi mengatakan "Ya", pengecekan melihat teks di layar, dan jendela terbuka.

Gabungkan keduanya, perintah otorisasi berbahasa Mandarin yang tersembunyi di dalam tautan yang dibisukan, dan Anda akan mendapatkan muatan yang terdengar seperti pertukaran bahasa Inggris biasa saat menyelesaikan cek terbaru Google.

Melewati gerbang otorisasi, dampaknya sesuai dengan penelitian sebelumnya dan kemudian melangkah lebih jauh:

Kontrol rumah pintar melalui Google Home: jendela, ketel uap, dan lampu yang terhubung.

Pelacakan dan pengunduhan. Membuka URL untuk melakukan geolokasi korban berdasarkan IP atau mengunduh file push.

Menyeberang ke aplikasi lain. Dalam demo tersebut, Yair menetapkan domain yang tampak aman untuk dialihkan ke tautan aplikasi Zoom, dan Gemini mengikutinya tanpa disuruh, memaksa ponsel untuk bergabung dalam rapat dan melakukan streaming video. Menurut akunnya, ini berhasil karena Gemini memercayai domain tersebut setelah menyajikan konten yang bersih, lalu mengikuti pengalihan berikutnya. SafeBreach menekankan bahwa domainnya tidak pernah dialihkan ke Zoom; pengalihan berjalan di server lokal di perangkat pengujian.

Keracunan memori, yang tidak pernah berhasil dilakukan oleh teknik kalender sebelumnya. Penyelarasan Konteks Palsu mensimulasikan persetujuan, jadi Gemini terus-menerus menyimpan fakta yang dipilih penyerang. Dalam demo tersebut, nama korban disimpan sebagai "Danny". Karena memori tersebut berada pada tingkat akun, fakta beracun tersebut tidak tersimpan di telepon; itu mengikuti korban di mana pun mereka menggunakan Gemini di akun itu.

Kegigihan melalui tindakan terjadwal, seperti tugas berulang membaca pesan terbaru korban setiap hari pada jam 8 malam.

SafeBreach melaporkan temuan tersebut ke Program Vulnerability Reward Google pada tanggal 17 Agustus 2025. Google memperlakukannya sebagai prioritas utama dan mengonfirmasi pada tanggal 14 November 2025 bahwa penyempurnaan pengklasifikasi konten mengurangi suntikan notifikasi dan bypass Invokasi Alat Tertunda.

Karena perbaikannya dilakukan di sisi server, tidak ada pembaruan aplikasi yang perlu dilakukan. Satu-satunya kontrol yang dimiliki pengguna adalah apakah Gemini membaca notifikasi sama sekali: putuskan sambungan aplikasi Utilitas di setelan Aplikasi Terhubung Gemini, atau matikan izin "Pemberitahuan baca, balas & kontrol" aplikasi Google di Android.

Apakah artikel ini menarik? Ikuti kami di Google Berita, Twitter, dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

Buka sumber asli di thehackernews.com