Serangan Baru Bikin Gemini Takluk pada Orang Asing Lewat Notifikasi WhatsApp
Serangan Baru Bikin Gemini Takluk pada Orang Asing Lewat Notifikasi WhatsApp
CLB.my.id - Peneliti keamanan di SafeBreach Labs menemukan celah serius yang memungkinkan penyerang mengendalikan Google Gemini melalui notifikasi biasa dari WhatsApp, Slack, SMS, atau aplikasi pesan lainnya. Serangan yang diberi nama “Fake Context Alignment” ini berhasil menipu asisten suara Google untuk menjalankan perintah berbahaya tanpa sepengetahuan pengguna.
Peneliti Or Yair menghabiskan berbulan-bulan untuk menemukan kelemahan ini setelah Google menambal celah yang ia temukan dalam penelitian sebelumnya. Hasilnya adalah kelas serangan baru yang mengeksploitasi kepercayaan yang ditempatkan pengguna pada aliran notifikasi mereka sendiri.
Bagaimana Serangan Bekerja
Serangan ini berbasis prompt injection tidak langsung. Ketika pengguna meminta Gemini untuk membaca notifikasi, asisten memproses konten pesan masuk, termasuk instruksi tersembunyi yang ditanam penyerang. Karena hampir semua aplikasi bisa mengirim notifikasi, potensi permukaan serangan menjadi sangat besar.
Google sebenarnya sudah menambahkan perlindungan terhadap upaya manipulasi langsung terhadap alat Gemini. Namun notifikasi membuka jalur serangan baru yang tidak terproteksi.
Yang membuat serangan ini lebih mengkhawatirkan adalah potensi social engineering-nya. Penyerang bisa menipu Gemini agar membacakan pesan palsu yang tampak berasal dari orang sungguhan di daftar notifikasi korban. Penyerang bahkan tidak perlu tahu nama kontak sebelumnya. Instruksi berbahaya cukup memberitahu Gemini untuk menggunakan nama pengirim pertama yang ditemukan.
Dua Teknik untuk Menipu Pengguna
Untuk benar-benar membuat Gemini menjalankan aksi, peneliti harus melewati mitigasi baru Google yang memblokir “Delayed Tool Invocation.” Google memeriksa apakah respons “Ya” dari pengguna masuk akal mengingat apa yang baru saja dikatakan Gemini.
Teknik pertama menggunakan bahasa asing. Gemini akan secara lisan mengajukan pertanyaan berbahaya dalam bahasa Mandarin, segera diikuti frasa biasa dalam bahasa Inggris seperti “Is that all you needed?” Pengguna hanya mendengar bahasa Inggris dan menjawab “Ya,” mengira mereka sedang menutup ringkasan notifikasi. Pemeriksaan keamanan Google melihat pertanyaan Mandarin ditambah jawaban “Ya” dan menyetujui aksi tersebut.
Teknik kedua lebih halus: menyembunyikan pertanyaan otorisasi di dalam hyperlink yang tidak dibacakan Gemini. Layar menampilkan “Do you want to open the window?” sementara yang terdengar sama sekali berbeda.
Kombinasi kedua teknik menghasilkan apa yang disebut “Ultimate Combo”: pertanyaan berbahaya tersembunyi dalam teks bahasa Mandarin, di dalam tautan yang dibisukan, tidak terlihat oleh pengguna, dan menyetujui secara diam-diam di latar belakang.
Dampak Nyata yang Berbahaya
Dalam demonstrasi, serangan ini memungkinkan beberapa aksi berbahaya. Peneliti berhasil mengendalikan perangkat Google Home dari jarak jauh, termasuk jendela, pemanas, dan lampu. Serangan Zoom juga berhasil dilakukan, di mana penyerang bisa memulai panggilan yang menyiarkan video korban secara langsung.
Yang paling mengkhawatirkan adalah serangan terhadap memori jangka panjang Gemini. Peneliti berhasil menginstruksikan Gemini untuk membuat tugas berulang yang secara otomatis membaca pesan terbaru pengguna setiap hari pukul 8 malam. Karena memori Gemini terikat ke seluruh akun Google Workspace pengguna, data yang terkontaminasi bisa menyebar ke semua perangkat.
“Menyuntikkan asisten melalui notifikasi di ponsel korban bisa langsung mengompromikan interaksi mereka dengan Gemini di tablet, komputer, atau speaker pintar,” tulis laporan SafeBreach.
Mengapa Asisten Suara Sangat Rentan
Asisten suara memiliki kelemahan unik dibanding antarmuka berbasis teks. Ketika Gemini mengajukan pertanyaan, mikrofon otomatis terbuka, membutuhkan balasan. Mekanisme ini memungkinkan penyerang memaksa beberapa interaksi dari pengguna, membuat eksploitasi multi-langkah jauh lebih mudah dilakukan.
Skenario berkendara adalah contoh sempurna. Pengguna tidak bisa melihat layar, bergantung sepenuhnya pada apa yang dikatakan Gemini, dan cenderung mengikuti instruksinya. Teks tersembunyi dan tautan mencurigakan tetap tidak terlihat, membuat serangan lebih mudah berhasil.
Status Mitigasi
Google telah memperbarui classifier kontennya untuk memblokir teknik prompt injection dan delayed tool invocation yang digunakan dalam serangan spesifik ini. Namun SafeBreach mempublikasikan riset mereka karena kerentanan fundamental tetap ada.
Setiap asisten suara yang memproses perintah pengguna dan konten eksternal yang tidak terpercaya melalui sistem yang sama tetap rentan terhadap serangan prompt injection serupa. Rekomendasi untuk pengguna: waspada terhadap notifikasi dari sumber tidak dikenal, dan pertimbangkan untuk membatasi akses Gemini ke notifikasi pribadi.***
