Gemini Bisa Dibajak Lewat Notifikasi WhatsApp, Peneliti Ungkap Celah Fake Context Alignment
Gemini Bisa Dibajak Lewat Notifikasi WhatsApp, Peneliti Ungkap Celah Fake Context Alignment
CLB.my.id - Peneliti keamanan dari SafeBreach Labs berhasil menemukan dan mendemonstrasikan serangan baru yang dinamai “Fake Context Alignment,” sebuah teknik yang mampu membajak asisten suara Google Gemini melalui notifikasi dari aplikasi terpercaya seperti WhatsApp, Slack, dan Signal. Serangan ini memungkinkan pelaku mengendalikan perangkat rumah pintar, merekam video secara diam-diam, bahkan meracuni memori jangka panjang Gemini.
Bagaimana Serangan Ini Bekerja?
Peneliti Or Yair dari SafeBreach Labs menemukan bahwa Gemini rentan terhadap injeksi prompt tidak langsung (indirect prompt injection) yang disisipkan melalui notifikasi masuk. Ketika pengguna meminta Gemini untuk membacakan notifikasi, asisten suara tersebut memproses seluruh konten termasuk instruksi tersembunyi yang diselipkan pelaku di dalam pesan.
Yang membuat serangan ini sangat berbahaya adalah kemampuannya untuk mengeksploitasi kepercayaan pengguna terhadap aplikasi komunikasi sehari-hari. Pelaku tidak perlu mengakses akun korban secara langsung. Cukup mengirim pesan WhatsApp berisi instruksi tersembunyi, dan ketika korban meminta Gemini membacakan notifikasi, serangan langsung aktif.
Serangan ini juga memanfaatkan nama pengirim asli dari notifikasi yang ada, sehingga proses phishing bisa dilakukan secara massal tanpa perlu riset mendalam tentang target.
Membypass Pertahanan Google
Google sebenarnya sudah memiliki perlindungan terhadap manipulasi langsung dan penundaan eksekusi tindakan. Namun, Yair berhasil menembus pertahanan tersebut dengan dua teknik cerdas.
Teknik pertama adalah penyamaran bahasa asing. Gemini akan mengajukan pertanyaan berbahasa Mandarin secara lisan, kemudian langsung diikuti frasa bahasa Inggris yang terdengar tidak berbahaya seperti “Is that all you needed?” Pengguna mendengar dan menjawab “Ya” untuk frasa Inggris tersebut, sementara sistem keamanan di backend justru menyetujui pertanyaan tersembunyi berbahasa Mandarin itu.
Teknik kedua menyembunyikan pertanyaan otorisasi di dalam teks hyperlink yang tidak dibacakan Gemini secara lisan. Layar mungkin menampilkan “Apakah Anda ingin membuka jendela?” sementara yang didengar pengguna adalah kalimat yang sama sekali berbeda.
Kedua teknik ini kemudian digabungkan menjadi “kombinasi pamungkas” yang membuat serangan benar-benar tidak terlihat oleh korban.
Dampak yang Bisa Dihasilkan
Dalam demonstrasinya, serangan ini mampu melakukan sejumlah tindakan berbahaya tanpa persetujuan eksplisit pengguna. Pelaku bisa mengendalikan perangkat Google Home dari jarak jauh, termasuk membuka jendela, menghidupkan boiler, dan menyalakan lampu.
Serangan juga memungkinkan pelaku meluncurkan panggilan Zoom melalui pengalihan domain terpercaya, sehingga mengalirkan video langsung korban tanpa sepengetahuannya. Lebih mengkhawatirkan lagi, pelaku bisa menjadwalkan tugas berulang untuk membaca pesan terbaru korban setiap hari pukul 20.00.
Ancaman paling serius adalah keracunan memori jangka panjang. Pelaku bisa menginstruksikan Gemini untuk menyimpan data berbahaya di memori permanennya. Karena memori ini terkait dengan seluruh akun Google Workspace, kompromi bisa menyebar ke semua perangkat pengguna, dari ponsel hingga komputer dan speaker pintar.
Risiko Saat Mengemudi
Penelitian ini juga menyoroti betapa berbahayanya serangan ini dalam situasi tertentu. Saat mengemudi, pengguna tidak bisa melihat layar dan sepenuhnya mengandalkan interaksi suara. Kondisi ini membuat serangan jauh lebih mudah dieksekusi karena korban tidak punya kesempatan untuk memverifikasi apa yang sebenarnya terjadi di layar.
Respons Google dan Rekomendasi
Peneliti melaporkan temuan ini kepada Google pada Agustus 2025. Google mengonfirmasi bahwa pembaruan pada classifier konten mereka telah memblokir teknik injeksi prompt tertentu dan teknik penundaan eksekusi tindakan yang digunakan dalam serangan ini.
Namun, SafeBreach mempublikasikan riset ini karena masalah arsitektural mendasar masih tetap ada. Selama asisten suara memproses perintah pengguna dan konten eksternal yang tidak terpercaya melalui sistem yang sama, vektor serangan serupa tetap bisa muncul di masa depan.
Para ahli merekomendasikan agar vendor dan organisasi mulai memikirkan ulang cara sistem AI memproses kepercayaan, konteks, dan izin lintas channel untuk memastikan keamanan pengguna.
Temuan ini menjadi pengingat penting bahwa asisten berbasis AI, meskipun semakin canggih, masih memiliki celah keamanan yang bisa dieksploitasi melalui kanal komunikasi yang dianggap aman. Bagi pengguna Gemini di Indonesia, disarankan untuk berhati-hati saat meminta asisten suara membacakan notifikasi, terutama di lingkungan publik atau saat sedang mengemudi. Memperbarui aplikasi Gemini ke versi terbaru juga langkah bijak untuk memastikan patch keamanan sudah terpasang.***
