-
09/04/2020
-
141
-
1.956 bài viết
Google vá lỗi Gemini trên Android có thể bị chiếm quyền qua tin nhắn giả mạo
Một lỗ hổng bảo mật nghiêm trọng vừa được các nhà nghiên cứu an ninh mạng công bố cho thấy trợ lý AI Google Gemini trên Android từng có thể bị thao túng chỉ thông qua một thông báo độc hại từ các ứng dụng nhắn tin phổ biến như WhatsApp, Slack, Signal, Instagram hay Facebook Messenger.
Điều đáng chú ý là nạn nhân không cần cài đặt ứng dụng độc hại nào trên điện thoại. Chỉ cần Gemini đọc và xử lý một thông báo chứa “chỉ thị ngầm”, trợ lý AI này có thể bị điều khiển để thực hiện các hành động nguy hiểm như mở cửa sổ thông minh, tham gia cuộc gọi Zoom, gửi tin nhắn giả mạo hoặc thậm chí ghi nhớ thông tin sai lệch lâu dài.
Phát hiện trên được công bố bởi chuyên gia nghiên cứu Or Yair thuộc công ty an ninh mạng SafeBreach. Đây là phần tiếp nối của nghiên cứu trước đó mang tên “Invitation Is All You Need”, từng cho thấy Gemini có thể bị thao túng thông qua lời mời Google Calendar độc hại. Sau sự cố đó, Google đã bổ sung nhiều cơ chế phòng chống “Indirect Prompt Injection” (tức kỹ thuật chèn lệnh gián tiếp để đánh lừa AI). Tuy nhiên, nhóm nghiên cứu cho biết họ vẫn tìm được cách vượt qua các biện pháp bảo vệ mới.
Lỗ hổng không có mã CVE nhưng mức độ nguy hiểm rất cao
Hiện lỗ hổng chưa được gán mã CVE chính thức và cũng chưa ghi nhận dấu hiệu bị khai thác ngoài thực tế. Tuy nhiên, Google đã xác nhận đây là vấn đề có mức ưu tiên cao và đã triển khai bản vá phía máy chủ vào cuối năm 2025.
Điểm nguy hiểm nằm ở chỗ Gemini trên Android có tính năng “Utilities”, cho phép AI đọc và phản hồi thông báo từ các ứng dụng nhắn tin. Nhà nghiên cứu phát hiện tác nhân AI xử lý thông báo đã coi nội dung trong notification như những “chỉ dẫn hợp lệ”, từ đó có thể thực thi hành động tương ứng.
Điều này khiến bất kỳ ai có khả năng gửi notification tới điện thoại nạn nhân đều có thể biến nó thành một “kênh tấn công”. Bề mặt tấn công vì thế gần như “vô hạn”, từ SMS, ứng dụng chat cho tới các nền tảng mạng xã hội.
Điểm nguy hiểm nằm ở chỗ Gemini trên Android có tính năng “Utilities”, cho phép AI đọc và phản hồi thông báo từ các ứng dụng nhắn tin. Nhà nghiên cứu phát hiện tác nhân AI xử lý thông báo đã coi nội dung trong notification như những “chỉ dẫn hợp lệ”, từ đó có thể thực thi hành động tương ứng.
Điều này khiến bất kỳ ai có khả năng gửi notification tới điện thoại nạn nhân đều có thể biến nó thành một “kênh tấn công”. Bề mặt tấn công vì thế gần như “vô hạn”, từ SMS, ứng dụng chat cho tới các nền tảng mạng xã hội.
Tin nhắn giả có thể khiến người dùng tự cấp quyền cho hacker
Theo phân tích kỹ thuật, Gemini vốn có cơ chế yêu cầu người dùng xác nhận trước khi thực hiện các hành động nhạy cảm như mở ứng dụng, điều khiển thiết bị hay kích hoạt tác vụ hệ thống. Tuy nhiên, nhóm nghiên cứu đã phát triển kỹ thuật vượt qua lớp bảo vệ này với tên gọi “Fake Context Alignment”.
Cơ chế này đánh lừa cả AI lẫn người dùng bằng cách tạo ra hai lớp hội thoại khác nhau.
Ở kịch bản đầu tiên, Gemini hiển thị câu hỏi xác nhận thật bằng một ngôn ngữ lạ như tiếng Trung, trong khi phần phản hồi bằng giọng nói lại là một câu vô hại bằng tiếng Anh kiểu “Bạn còn cần gì nữa không?”. Người dùng tưởng hệ thống bị lỗi nên trả lời “Yes”, nhưng AI lại hiểu đó là xác nhận cho hành động nguy hiểm.
Ở kịch bản thứ hai, câu lệnh độc hại bị giấu trong một liên kết mà hệ thống chuyển văn bản thành giọng nói không đọc thành tiếng. Người dùng chỉ nghe một câu vô hại như “Tôi gặp lỗi, bạn còn ở đó không?”, nhưng trên màn hình thực tế lại hiển thị yêu cầu mở cửa sổ hoặc chạy tác vụ hệ thống.
Khi kết hợp hai kỹ thuật này, hacker có thể khiến Gemini chấp nhận hành động nguy hiểm mà người dùng không hề nhận ra.
Cơ chế này đánh lừa cả AI lẫn người dùng bằng cách tạo ra hai lớp hội thoại khác nhau.
Ở kịch bản đầu tiên, Gemini hiển thị câu hỏi xác nhận thật bằng một ngôn ngữ lạ như tiếng Trung, trong khi phần phản hồi bằng giọng nói lại là một câu vô hại bằng tiếng Anh kiểu “Bạn còn cần gì nữa không?”. Người dùng tưởng hệ thống bị lỗi nên trả lời “Yes”, nhưng AI lại hiểu đó là xác nhận cho hành động nguy hiểm.
Ở kịch bản thứ hai, câu lệnh độc hại bị giấu trong một liên kết mà hệ thống chuyển văn bản thành giọng nói không đọc thành tiếng. Người dùng chỉ nghe một câu vô hại như “Tôi gặp lỗi, bạn còn ở đó không?”, nhưng trên màn hình thực tế lại hiển thị yêu cầu mở cửa sổ hoặc chạy tác vụ hệ thống.
Khi kết hợp hai kỹ thuật này, hacker có thể khiến Gemini chấp nhận hành động nguy hiểm mà người dùng không hề nhận ra.
Gemini có thể bị lợi dụng để điều khiển thiết bị và “đầu độc trí nhớ AI”
Sau khi vượt qua bước xác nhận, kẻ tấn công có thể lạm dụng Gemini để thực hiện hàng loạt hành động nguy hiểm.
Trong thử nghiệm của SafeBreach, Gemini có thể bị ép điều khiển thiết bị nhà thông minh thông qua Google Home, bao gồm mở cửa sổ, bật đèn hoặc kích hoạt thiết bị kết nối.
Nhóm nghiên cứu cũng cho thấy AI có thể mở URL để theo dõi vị trí người dùng thông qua địa chỉ IP, tự động tải tệp tin hoặc chuyển hướng sang ứng dụng khác. Trong một bản demo, Gemini thậm chí bị lợi dụng để ép điện thoại tự động tham gia cuộc họp Zoom và kích hoạt truyền hình ảnh.
Nguy hiểm hơn, kỹ thuật này còn cho phép “đầu độc bộ nhớ AI” (memory poisoning). Hacker có thể khiến Gemini ghi nhớ thông tin giả mạo như tên người dùng, dữ liệu cá nhân hoặc các chỉ dẫn sai lệch. Do bộ nhớ này được đồng bộ ở cấp tài khoản, dữ liệu giả sẽ đi theo người dùng trên mọi thiết bị sử dụng Gemini.
Ngoài ra, AI còn có thể bị ép tạo các tác vụ định kỳ, ví dụ tự động đọc tin nhắn gần đây của nạn nhân mỗi ngày vào một khung giờ cố định.
Trong thử nghiệm của SafeBreach, Gemini có thể bị ép điều khiển thiết bị nhà thông minh thông qua Google Home, bao gồm mở cửa sổ, bật đèn hoặc kích hoạt thiết bị kết nối.
Nhóm nghiên cứu cũng cho thấy AI có thể mở URL để theo dõi vị trí người dùng thông qua địa chỉ IP, tự động tải tệp tin hoặc chuyển hướng sang ứng dụng khác. Trong một bản demo, Gemini thậm chí bị lợi dụng để ép điện thoại tự động tham gia cuộc họp Zoom và kích hoạt truyền hình ảnh.
Nguy hiểm hơn, kỹ thuật này còn cho phép “đầu độc bộ nhớ AI” (memory poisoning). Hacker có thể khiến Gemini ghi nhớ thông tin giả mạo như tên người dùng, dữ liệu cá nhân hoặc các chỉ dẫn sai lệch. Do bộ nhớ này được đồng bộ ở cấp tài khoản, dữ liệu giả sẽ đi theo người dùng trên mọi thiết bị sử dụng Gemini.
Ngoài ra, AI còn có thể bị ép tạo các tác vụ định kỳ, ví dụ tự động đọc tin nhắn gần đây của nạn nhân mỗi ngày vào một khung giờ cố định.
Vì sao cuộc tấn công này đặc biệt nguy hiểm?
Khác với mã độc truyền thống cần cài ứng dụng độc hại hoặc khai thác quyền hệ thống, kỹ thuật này tận dụng chính khả năng xử lý ngữ cảnh của AI để thao túng hành vi người dùng.
Điều đó đồng nghĩa:
Điều đó đồng nghĩa:
- Không cần cài malware
- Không cần root máy
- Không cần khai thác kernel hay lỗ hổng hệ điều hành
- Chỉ cần gửi một notification độc hại
Đây được xem là một dạng tấn công mới nhắm trực tiếp vào các trợ lý AI có khả năng tương tác sâu với hệ điều hành và dữ liệu cá nhân. Các chuyên gia nhận định khi AI ngày càng được tích hợp vào email, lịch, tin nhắn, thiết bị IoT và công cụ làm việc, những cuộc tấn công kiểu “prompt injection” sẽ trở thành xu hướng lớn trong tương lai.
Google đã vá lỗi, người dùng Android cần làm gì?
Theo SafeBreach, Google đã vá lỗi ở phía máy chủ nên người dùng không cần cài bản cập nhật riêng biệt. Tuy nhiên, để giảm rủi ro, người dùng Android được khuyến nghị:
- Tắt quyền đọc thông báo của Gemini nếu không thực sự cần thiết
- Kiểm tra mục Connected Apps trong Gemini và vô hiệu hóa tính năng Utilities
- Hạn chế cho phép AI truy cập ứng dụng nhắn tin cá nhân
- Cảnh giác với các phản hồi bằng giọng nói bất thường từ trợ lý AI
- Không xác nhận các yêu cầu mà bản thân không hiểu rõ
- Thường xuyên kiểm tra lịch sử hoạt động và bộ nhớ của Gemini
AI đang trở thành mục tiêu tấn công mới của giới tội phạm mạng
Vụ việc cho thấy trợ lý AI không còn chỉ là công cụ hỗ trợ thông minh mà đang dần trở thành “điểm tấn công” mới trong hệ sinh thái số. Khi AI được trao quyền truy cập ngày càng sâu vào dữ liệu, thiết bị và hành vi người dùng, các cuộc tấn công không còn cần mã độc truyền thống mà có thể khai thác chính khả năng “hiểu ngữ cảnh” của AI.
Dù Google đã xử lý lỗ hổng, nghiên cứu này vẫn là lời cảnh báo quan trọng đối với toàn ngành công nghệ: AI không chỉ cần thông minh hơn, mà còn phải đủ an toàn trước những kỹ thuật thao túng ngày càng tinh vi của tội phạm mạng.
Dù Google đã xử lý lỗ hổng, nghiên cứu này vẫn là lời cảnh báo quan trọng đối với toàn ngành công nghệ: AI không chỉ cần thông minh hơn, mà còn phải đủ an toàn trước những kỹ thuật thao túng ngày càng tinh vi của tội phạm mạng.