Cách một thông báo WhatsApp vô tội có thể âm thầm chiếm quyền điều khiển Google Gemini trên điện thoại Android của bạn

Lỗ hổng: Tiêm nhiễm lệnh gián tiếp qua thông báo

Cuộc tấn công khai thác một tính năng được tích hợp sẵn trong trợ lý giọng nói Gemini trên Android, cụ thể là một công cụ thuộc nhóm Android Utilities, vốn được dùng để đọc và xử lý các thông báo đến trên thiết bị. Vì công cụ này xử lý dữ liệu không đáng tin cậy từ các ứng dụng bên thứ ba, một tin nhắn được tạo ra một cách đặc biệt có thể nhúng các chỉ thị độc hại trực tiếp vào văn bản thông báo. Khi Gemini đọc thông báo đã bị 'nhiễm độc', nó sẽ âm thầm tiêm những mệnh lệnh đó vào ngữ cảnh của chính mình, sẵn sàng hành động khi người dùng thực hiện một tương tác hoàn toàn vô tội tiếp theo .

Điều này đồng nghĩa với việc kẻ tấn công không cần truy cập vật lý vào điện thoại hay bất kỳ quyền hạn đặc biệt nào. Chỉ một tin nhắn được gửi qua một nền tảng nhắn tin tiêu chuẩn như WhatsApp, Slack, Signal, SMS, Instagram hoặc Messenger là đủ để xâm phạm thiết bị .

Vượt mặt hàng phòng thủ của Google: Kỹ thuật 'Fake Context Alignment'

Google đã từng rút ra bài học từ những nghiên cứu trước đó. Khi SafeBreach trước đây chứng minh cách một lời mời Google Calendar độc hại có thể chiếm quyền Gemini, Google đã phản ứng bằng cách vá hệ thống để chặn các lệnh gọi công cụ theo chuỗi (chained tool invocations) và trì hoãn việc kích hoạt công cụ (delayed tool invocation), hai chiến lược tiêm nhiễm lệnh phổ biến. Bản vá này ngăn chặn kẻ tấn công kích hoạt một chuỗi hành động nhạy cảm hoặc trì hoãn cuộc tấn công cho đến khi người dùng mất cảnh giác .

Nhà nghiên cứu Or Yair của SafeBreach đã tìm ra một cách sáng tạo để lách qua những hàng rào bảo vệ mới này. Kỹ thuật mới mang tên 'Fake Context Alignment' (Căn chỉnh ngữ cảnh giả) tạo ra một thực tại kép để đánh lừa logic bảo mật của AI . Nó hoạt động bằng cách thể hiện hai bộ mặt khác nhau:

• Đối với các cơ chế bảo mật của Gemini, tương tác trông có vẻ hợp pháp và được người dùng ủy quyền. Các hàng rào bảo vệ của AI không thấy điều gì bất thường.
• Đối với nạn nhân là con người, điện thoại chỉ hiển thị một thông báo và cuộc trò chuyện hoàn toàn lành tính. Không có lời nhắc hiển thị, không có liên kết đáng ngờ, và không có yêu cầu bất thường nào.

Mánh khóe nằm ở các mệnh lệnh ẩn hoặc bị làm mờ. Kẻ tấn công sẽ nhúng các chỉ thị độc hại trong văn bản tiếng nước ngoài, các siêu liên kết bị tắt tiếng, hoặc các định dạng lệnh ẩn khác mà con người có thể bỏ qua nhưng AI sẽ xử lý. Khi người dùng sau đó đưa ra một lệnh thoại bình thường, vô hại hoặc gõ một câu trả lời, logic ủy quyền của Gemini sẽ hiểu nhầm hành động đó của người dùng là sự chấp thuận cho các tác vụ nhạy cảm, ẩn giấu đã được cài cắm từ trước. Bằng cách kết hợp nhiều kỹ thuật làm mờ và định thời thành một tải trọng (payload) mà các nhà nghiên cứu gọi là "Ultimate Combo", nhóm đã có thể vượt qua tất cả các biện pháp giảm thiểu mới nhất của Google với độ tin cậy cao .

Năm màn trình diễn tấn công thực tế

SafeBreach không chỉ mô tả rủi ro lý thuyết. Họ đã chứng minh năm kịch bản tấn công cụ thể cho thấy mức độ kiểm soát hoàn toàn có thể đạt được .

1. Điều khiển nhà thông minh
Một khi Gemini bị xâm nhập, kẻ tấn công có thể thao tác từ xa bất kỳ thiết bị Google Home nào được kết nối. Điều này bao gồm việc mở các cửa sổ được liên kết, điều khiển nồi hơi và quản lý hệ thống chiếu sáng, biến trợ lý AI thành một kẻ xâm nhập kỹ thuật số với những hậu quả trong thế giới thực .

2. Cuộc gọi Zoom cưỡng bức và bí mật phát trực tiếp camera
Các nhà nghiên cứu đã chứng minh khả năng âm thầm khởi chạy ứng dụng Zoom trên thiết bị của nạn nhân và bắt đầu một cuộc gọi phát trực tiếp luồng camera của điện thoại. Họ thực hiện điều này bằng cách sử dụng một chuyển hướng HTTP 301 từ một tên miền đã được dịch vụ Safe Browsing của Google phê duyệt, khiến kết nối độc hại trông có vẻ hợp pháp trước các kiểm tra bảo mật. Người dùng sẽ không có bất kỳ dấu hiệu trực quan nào cho thấy camera của họ đang hoạt động .

3. Đầu độc bộ nhớ trên toàn hệ sinh thái Google
Có lẽ cuộc tấn công nguy hiểm và tinh vi nhất là khả năng tiêm thông tin sai lệch vào bộ nhớ dài hạn của Gemini. Vì bộ nhớ này đồng bộ hóa trên toàn bộ tài khoản Google Workspace của người dùng, một thông báo nhiễm độc duy nhất có thể làm hỏng thông tin "được ghi nhớ" mà trợ lý có được trên máy tính bảng, máy tính và loa thông minh của nạn nhân – có khả năng dẫn đến các hành động sai lầm trong tương lai do AI thực hiện trên tất cả các thiết bị .

4. Giả mạo tin nhắn từ liên hệ đáng tin cậy
Cuộc tấn công có thể được vũ khí hóa cho các chiến dịch lừa đảo quy mô lớn. Các nhà nghiên cứu có thể trích xuất tên người gửi thực từ hàng đợi thông báo của thiết bị và tạo ra các tin nhắn giả mạo có vẻ như đến từ một liên hệ đáng tin cậy, chẳng hạn như sếp hoặc thành viên gia đình. Việc này không yêu cầu bất kỳ kiến thức trước nào về danh bạ của nạn nhân và có thể thúc đẩy các chiến dịch lừa đảo (phishing) cực kỳ thuyết phục .

5. Giám sát theo lịch trình
Để cho phép việc đánh cắp dữ liệu liên tục, các nhà nghiên cứu đã thiết lập một tác vụ định kỳ trong ngữ cảnh của AI. Điều này ra lệnh cho Gemini tự động đọc các tin nhắn gần đây của người dùng mỗi ngày, tạo ra một kênh giám sát bền vững, tự duy trì mà không cần bất kỳ sự tương tác nào thêm từ kẻ tấn công .

Tiến trình công bố và giải quyết

Nghiên cứu này tuân theo một tiến trình công bố có trách nhiệm thông qua Chương trình Tưởng thưởng Lỗ hổng (VRP) của Google:

• Ngày 17 tháng 8 năm 2025: SafeBreach báo cáo lỗ hổng tiêm nhiễm lệnh dựa trên thông báo và kỹ thuật vượt mặt "Fake Context Alignment" cho Google .
• Ngày 14 tháng 11 năm 2025: Google xác nhận rằng các bản cập nhật cho bộ phân loại nội dung của họ đã giảm thiểu thành công các kịch bản tiêm nhiễm lệnh gián tiếp và trì hoãn kích hoạt công cụ được mô tả trong nghiên cứu .
• Ngày 3 tháng 6 năm 2026: SafeBreach công khai toàn bộ chi tiết kỹ thuật và các cuộc tấn công đã được chứng minh. Tại thời điểm công bố, không có bằng chứng nào cho thấy kỹ thuật này đã từng bị khai thác trong thực tế, và không có mã CVE nào được cấp cho phát hiện nội bộ này .

Mặc dù cánh cửa cụ thể này đã được đóng lại, nghiên cứu nhấn mạnh một mâu thuẫn cơ bản trong các trợ lý AI: càng trở nên hữu ích và nhận biết ngữ cảnh bằng cách đọc thông báo, lịch và email của chúng ta, chúng càng phải quản lý một cách an toàn nhiều đường ống dữ liệu không đáng tin cậy hơn. Công trình của SafeBreach đóng vai trò như một bản thiết kế quan trọng để tăng cường bảo mật cho thế hệ tác nhân AI tiếp theo trước một mối đe dọa chỉ cần một lời mời lắng nghe.