Lỗ hổng trên Android: Thông báo từ WhatsApp, Slack có thể bị lợi dụng để chiếm quyền điều khiển Google Gemini

Một nghiên cứu mới từ chuyên gia Or Yair tại SafeBreach đã chỉ ra rằng, chỉ cần một thông báo được dàn dựng khéo léo từ các ứng dụng phổ biến như WhatsApp, Slack, SMS, Signal hay Messenger, kẻ tấn công có thể chiếm quyền điều khiển trợ lý ảo Google Gemini trên Android. Điều đáng chú ý là người dùng không cần phải cài đặt bất kỳ ứng dụng độc hại nào; Gemini đơn giản là đã coi các thông báo này như một phần dữ liệu ngữ cảnh hợp lệ.

Cơ chế tấn công: Fake Context Alignment

Lỗ hổng này tận dụng tính năng Utilities của Gemini trên Android – vốn cho phép trợ lý ảo đọc và phản hồi thông báo. Kẻ tấn công có thể gửi các thông báo chứa payload độc hại để ra lệnh cho Gemini thực hiện các hành động ngoài ý muốn. Sau khi Google tăng cường bảo mật cho Gemini để ngăn chặn các cuộc tấn công prompt injection gián tiếp, Yair đã tìm ra phương pháp mới mang tên Fake Context Alignment để vượt qua các rào cản này.

Kỹ thuật này sử dụng hai thủ thuật chính để đánh lừa cả người dùng lẫn hệ thống kiểm tra bảo mật của Google:

• Obfuscated (Làm nhiễu): Gemini sẽ đưa ra câu hỏi xác nhận bằng một ngôn ngữ mà nạn nhân không sử dụng (ví dụ: tiếng Trung), sau đó tiếp nối bằng một câu hỏi vô hại bằng tiếng Anh. Người dùng thường sẽ bỏ qua sự bất thường và trả lời “Có”, vô tình xác nhận hành động độc hại.
• Muted (Ẩn thông tin): Kẻ tấn công ẩn các câu lệnh độc hại vào các liên kết mà tính năng chuyển đổi văn bản thành giọng nói (text-to-speech) của Gemini thường bỏ qua. Khi đó, người dùng chỉ nghe thấy các câu hỏi thông thường, trong khi màn hình lại hiển thị yêu cầu xác nhận cho một hành động nguy hiểm.

Hậu quả tiềm tàng

Nếu vượt qua được các bước xác thực, kẻ tấn công có thể thực hiện nhiều hành vi nguy hiểm:

• Điều khiển thiết bị thông minh: Mở cửa sổ, điều chỉnh đèn hoặc các thiết bị trong hệ sinh thái Google Home.
• Thao túng ứng dụng: Ép buộc điện thoại tham gia các cuộc gọi Zoom hoặc điều hướng người dùng đến các trang web độc hại.
• Đầu độc bộ nhớ (Memory poisoning): Thay đổi thông tin cá nhân trong bộ nhớ dài hạn của Gemini, khiến trợ lý ảo ghi nhớ sai lệch thông tin về người dùng trên toàn bộ tài khoản.
• Duy trì quyền truy cập: Thiết lập các tác vụ định kỳ để đọc tin nhắn của người dùng mỗi ngày.

Cách phòng tránh

Google đã xác nhận và triển khai các bản vá phía server (server-side) để khắc phục lỗ hổng này từ cuối năm 2025. Do đây là bản vá phía máy chủ, người dùng không cần cập nhật ứng dụng. Tuy nhiên, để đảm bảo an toàn tối đa, bạn có thể chủ động kiểm soát quyền truy cập của Gemini bằng cách:

• Truy cập vào cài đặt Connected Apps trong Gemini và ngắt kết nối với các ứng dụng không cần thiết.
• Tắt quyền “Notification read, reply & control” (Đọc, trả lời và điều khiển thông báo) của ứng dụng Google trong phần cài đặt quyền của Android.

Nguồn tham khảo: The Hacker News