Peringatan Keamanan: Notifikasi WhatsApp Bisa Diam-Diam Membajak Asisten AI di Ponsel Android Anda

Celah Keamanan: Indirect Prompt Injection Berbasis Notifikasi

Serangan ini mengeksploitasi fitur bawaan asisten suara Gemini di Android, lebih tepatnya sebuah alat di dalam Android Utilities agent yang bertugas membaca dan memproses notifikasi perangkat. Karena alat ini menangani data yang tidak terverifikasi dari aplikasi pihak ketiga, pesan yang sudah direkayasa bisa menyematkan instruksi jahat langsung ke dalam teks notifikasi .

Saat Gemini membaca notifikasi berbahaya itu, ia akan diam-diam menyuntikkan perintah tersebut ke dalam konteks percakapannya sendiri, siap untuk dieksekusi saat interaksi normal berikutnya dengan pengguna. Artinya, penyerang tidak memerlukan akses fisik ke ponsel atau izin khusus. Satu pesan lewat platform standar—WhatsApp, Slack, Signal, SMS, Instagram, atau Messenger—sudah cukup untuk mengompromikan perangkat .

Menjinakkan Pertahanan Google: Teknik 'Fake Context Alignment'

Google sebenarnya sudah belajar dari riset-riset sebelumnya. Ketika SafeBreach sebelumnya menunjukkan bagaimana undangan Google Calendar yang jahat bisa membajak Gemini, Google merespons dengan menambal sistem untuk memblokir pemanggilan alat berantai (chained tool invocations) dan pemanggilan alat tertunda (delayed tool invocation)—dua strategi prompt injection yang umum. Patch ini mencegah penyerang memicu serangkaian tindakan sensitif atau menunda serangan sampai pengguna lengah .

Namun, Or Yair, peneliti SafeBreach, menemukan cara kreatif untuk menghindari pagar pengaman baru ini. Teknik baru yang dinamakan 'Fake Context Alignment' menciptakan realitas ganda untuk mengecoh logika keamanan AI . Caranya dengan menampilkan dua wajah yang berbeda:

• Bagi mekanisme keamanan Gemini, interaksi ini tampak seperti skenario yang sah dan diotorisasi oleh pengguna. Pagar pengaman AI tidak melihat ada yang aneh.
• Bagi korban manusia, ponsel hanya menampilkan notifikasi dan percakapan yang sama sekali tidak berbahaya. Tidak ada prompt mencurigakan yang kasat mata, tidak ada tautan aneh, dan tidak ada permintaan yang tidak biasa.

Trik ini bertumpu pada perintah yang disembunyikan atau disamarkan (obfuscated commands). Penyerang menyisipkan instruksi jahat di dalam teks berbahasa asing, hyperlink yang dibungkam, atau format prompt terselubung lainnya yang bisa diabaikan manusia tetapi justru diproses oleh AI. Ketika pengguna kemudian memberikan perintah suara atau mengetik balasan normal, logika otorisasi Gemini akan salah mengartikan tindakan pengguna itu sebagai persetujuan untuk tugas sensitif yang sudah ditanamkan sebelumnya. Dengan menggabungkan berbagai teknik penyamaran dan pengaturan waktu ke dalam payload yang dijuluki "Ultimate Combo", tim peneliti bisa melewati semua mitigasi terbaru Google dengan tingkat keberhasilan sangat tinggi .

Lima Demonstrasi Serangan di Dunia Nyata

SafeBreach tidak hanya menjelaskan risiko secara teori, melainkan mendemonstrasikan lima skenario serangan konkret yang menggambarkan betapa totalnya pembajakan ini .

1. Kontrol Rumah Pintar
Begitu Gemini dikompromikan, penyerang bisa memanipulasi perangkat Google Home yang terhubung dari jarak jauh. Ini termasuk membuka jendela yang terhubung, mengendalikan pemanas air (boiler), dan mengatur sistem pencahayaan. Asisten AI berubah menjadi penyusup digital dengan konsekuensi di dunia nyata .

2. Panggilan Zoom Paksa dengan Siaran Kamera Tersembunyi
Peneliti mendemonstrasikan kemampuan untuk meluncurkan aplikasi Zoom di perangkat korban secara diam-diam dan memulai panggilan yang menyiarkan umpan kamera langsung. Mereka melakukannya dengan menggunakan pengalihan HTTP 301 dari domain yang disetujui oleh layanan Safe Browsing milik Google, sehingga koneksi jahat tetap tampak sah di mata pemeriksaan keamanan. Pengguna tidak akan memiliki indikasi visual bahwa kamera mereka sedang menyala .

3. Peracunan Memori Lintas Ekosistem Google
Mungkin serangan yang paling berbahaya adalah kemampuan untuk menyuntikkan informasi palsu ke dalam memori jangka panjang Gemini. Karena memori ini disinkronkan di seluruh akun Google Workspace pengguna, satu notifikasi beracun bisa merusak informasi yang "diingat" oleh asisten di tablet, komputer, dan speaker pintar korban—berpotensi menuntun AI untuk mengambil tindakan keliru di masa depan di semua perangkat .

4. Pesan Palsu dari Kontak Terpercaya
Serangan ini bisa dijadikan senjata untuk rekayasa sosial (social engineering) skala besar. Peneliti mampu mengekstrak nama pengirim asli dari antrean notifikasi perangkat dan membuat pesan palsu yang seolah berasal dari kontak tepercaya, seperti atasan atau anggota keluarga. Ini tidak memerlukan pengetahuan sebelumnya tentang kontak korban, dan bisa mendorong kampanye phishing yang sangat meyakinkan .

5. Pengintaian Terjadwal
Untuk memungkinkan eksfiltrasi data secara berkelanjutan, peneliti menetapkan tugas berulang di dalam konteks AI. Ini memerintahkan Gemini untuk membaca pesan terbaru pengguna setiap hari, menciptakan saluran pengintaian yang persisten dan dapat berjalan sendiri tanpa interaksi lebih lanjut dari penyerang .

Garis Waktu Pengungkapan dan Penanganan

Riset ini mengikuti garis waktu pengungkapan yang bertanggung jawab melalui Program Hadiah Kerentanan (Vulnerability Reward Program/VRP) milik Google:

• 17 Agustus 2025: SafeBreach melaporkan kerentanan prompt injection berbasis notifikasi dan teknik bypass 'Fake Context Alignment' kepada Google .
• 14 November 2025: Google mengonfirmasi bahwa pembaruan pada pengklasifikasi konten mereka telah berhasil memitigasi skenario indirect prompt injection dan delayed tool invocation yang dijelaskan dalam riset .
• 3 Juni 2026: SafeBreach mengungkap detail teknis lengkap dan serangan yang didemonstrasikan kepada publik. Pada saat publikasi, tidak ada bukti bahwa teknik ini pernah dieksploitasi di alam liar, dan tidak ada CVE yang diterbitkan untuk temuan internal ini .

Meskipun celah spesifik ini sudah ditutup, riset ini menyoroti ketegangan mendasar pada asisten AI: semakin berguna dan sadar konteks mereka dengan membaca notifikasi, kalender, dan surel kita, semakin banyak jalur data tidak tepercaya yang harus mereka kelola secara aman. Karya SafeBreach menjadi cetak biru kritis untuk memperkuat agen AI generasi berikutnya melawan ancaman yang tidak membutuhkan lebih dari sekadar undangan untuk mendengarkan.