Nguyễn Tiến Đạt
Intern Writer
Google đã khắc phục một lỗ hổng trên Gemini dành cho Android, cho phép kẻ tấn công lợi dụng thông báo từ các ứng dụng như WhatsApp, Slack, Signal, Messenger hoặc SMS để tác động đến hành vi của trợ lý AI.
Theo nghiên cứu của SafeBreach, Gemini có thể coi nội dung trong thông báo là một phần ngữ cảnh để xử lý. Bằng kỹ thuật mang tên 'Fake Context Alignment', kẻ tấn công có thể đánh lừa hệ thống xác nhận của Gemini, khiến AI thực hiện các hành động như mở liên kết, khởi chạy ứng dụng, điều khiển thiết bị nhà thông minh hoặc ghi nhớ thông tin giả mạo.
Đáng chú ý, cuộc tấn công không yêu cầu cài đặt ứng dụng độc hại trên thiết bị. Chỉ một thông báo được thiết kế đặc biệt cũng có thể trở thành phương tiện truyền tải chỉ thị độc hại đến Gemini.
Nhà nghiên cứu Or Yair của SafeBreach cho biết kỹ thuật này là bước phát triển tiếp theo sau nghiên cứu trước đó về việc khai thác lời mời Google Calendar để chèn lệnh vào Gemini. Trong thử nghiệm, nhóm nghiên cứu đã chứng minh khả năng giả mạo tin nhắn, mở URL, chuyển hướng sang ứng dụng khác và đầu độc bộ nhớ dài hạn của trợ lý AI.
Google đã xác nhận vấn đề, triển khai bản vá phía máy chủ và cho biết không có bằng chứng cho thấy lỗ hổng từng bị khai thác trong thực tế. Người dùng không cần cập nhật ứng dụng, nhưng có thể tăng cường an toàn bằng cách tắt quyền đọc thông báo hoặc ngắt kết nối các ứng dụng nhắn tin khỏi Gemini.
Theo nghiên cứu của SafeBreach, Gemini có thể coi nội dung trong thông báo là một phần ngữ cảnh để xử lý. Bằng kỹ thuật mang tên 'Fake Context Alignment', kẻ tấn công có thể đánh lừa hệ thống xác nhận của Gemini, khiến AI thực hiện các hành động như mở liên kết, khởi chạy ứng dụng, điều khiển thiết bị nhà thông minh hoặc ghi nhớ thông tin giả mạo.
Đáng chú ý, cuộc tấn công không yêu cầu cài đặt ứng dụng độc hại trên thiết bị. Chỉ một thông báo được thiết kế đặc biệt cũng có thể trở thành phương tiện truyền tải chỉ thị độc hại đến Gemini.
Nhà nghiên cứu Or Yair của SafeBreach cho biết kỹ thuật này là bước phát triển tiếp theo sau nghiên cứu trước đó về việc khai thác lời mời Google Calendar để chèn lệnh vào Gemini. Trong thử nghiệm, nhóm nghiên cứu đã chứng minh khả năng giả mạo tin nhắn, mở URL, chuyển hướng sang ứng dụng khác và đầu độc bộ nhớ dài hạn của trợ lý AI.
Google đã xác nhận vấn đề, triển khai bản vá phía máy chủ và cho biết không có bằng chứng cho thấy lỗ hổng từng bị khai thác trong thực tế. Người dùng không cần cập nhật ứng dụng, nhưng có thể tăng cường an toàn bằng cách tắt quyền đọc thông báo hoặc ngắt kết nối các ứng dụng nhắn tin khỏi Gemini.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
