Chỉ với một thông báo độc hại duy nhất từ WhatsApp, Slack, SMS, Signal, Instagram hoặc Messenger, kẻ tấn công có thể chiếm quyền điều khiển trợ lý giọng nói Google Gemini trên Android. Lỗ hổng này cho phép chúng mở các cửa sổ kết nối trong nhà thông minh, giả mạo tin nhắn từ cấp trên, ép điện thoại tham gia cuộc gọi Zoom hoặc âm thầm làm sai lệch bộ nhớ dài hạn của trợ lý ảo.
Điều đáng lo ngại là cuộc tấn công này không yêu cầu cài đặt bất kỳ ứng dụng độc hại nào trên điện thoại. Trợ lý ảo chỉ đơn giản là coi các thông báo độc hại này như một ngữ cảnh hữu ích để xử lý hành động.
Nghiên cứu này được công bố bởi Or Yair thuộc SafeBreach, tiếp nối công việc trước đó mang tên "Invitation Is All You Need", vốn sử dụng các lời mời Google Calendar độc hại để thực hiện các hành vi tương tự. Sau đó, Google đã tăng cường bảo mật cho Gemini để chống lại các cuộc tấn công indirect prompt injection.
Tuy nhiên, Yair đã tìm ra cách vượt qua các biện pháp bảo vệ mới. Google hiện đã vá lỗi này, SafeBreach cho biết không có mã CVE nào được gán cho vấn đề và cũng không có bằng chứng cho thấy kỹ thuật này từng bị khai thác trong thực tế.
Bề mặt tấn công "vô hạn"
Trên Android, tính năng Utilities của Gemini có thể đọc và trả lời các thông báo của bạn, bao gồm cả từ các ứng dụng như WhatsApp. Tính năng này không có trên iOS hoặc web, khiến vector tấn công này chỉ tồn tại trên Android. Yair phát hiện ra rằng Agent chịu trách nhiệm đọc các thông báo đó coi văn bản trong thông báo là các hướng dẫn mà nó có thể thực thi. Do đó, bất kỳ thứ gì có thể đẩy thông báo đến điện thoại đều có thể gửi mã độc (payload), một bề mặt tấn công mà Yair gọi là "hiệu quả vô hạn" (effectively infinite).
Ở mức độ tối thiểu, điều này cho phép kẻ tấn công thay đổi những gì Gemini nói, bao gồm cả việc giả mạo tin nhắn từ một liên hệ cụ thể. Khi bạn đang lái xe và không nhìn vào màn hình, một câu lệnh như "quản lý của bạn yêu cầu bạn tải tài liệu lên thư mục Drive này" sẽ rất khó để nghi ngờ. Phiên bản tấn công "mù" còn tệ hơn: payload sẽ kích hoạt sau khi Gemini tải các thông báo thực, vì vậy nó có thể lấy tên người gửi thực đầu tiên trong hàng đợi và gán tin nhắn giả mạo cho họ.
Kỹ thuật Fake Context Alignment
Việc giả mạo đầu ra là một chuyện, nhưng việc kích hoạt các công cụ thực sự như mở cửa sổ hoặc chạy ứng dụng là điều mà các biện pháp giảm thiểu của Google sau chiến dịch "Invitation" hướng tới. Qua kiểm thử black-box, Yair nhận thấy: khi một câu trả lời "Có" (Yes) xác nhận một hành động nhạy cảm, hệ thống sẽ kiểm tra cả câu trả lời của người dùng và đầu ra cuối cùng của Gemini để quyết định xem lệnh "Yes" đó có hợp lý hay không. Nếu chèn một hướng dẫn bị trì hoãn từ hư không, Gemini sẽ từ chối mọi lúc.
Vì vậy, để vượt qua, Yair đã đặt tên cho kỹ thuật này là Fake Context Alignment, thực hiện hai ảo giác cùng lúc: một xác thực có vẻ hợp lệ cho hệ thống kiểm tra bảo mật và một trao đổi vô hại đối với con người.
- Làm mờ (Obfuscated): Gemini đặt câu hỏi xác thực thực sự bằng một ngôn ngữ mà nạn nhân không biết, ví dụ tiếng Trung ("Bạn có muốn mở cửa sổ không?"), sau đó tiếp nối bằng tiếng Anh với một câu vô hại như "Đó có phải là tất cả những gì bạn cần không?". Người dùng coi cụm từ tiếng nước ngoài là một lỗi kỹ thuật, trả lời "Có", và hệ thống backend sẽ gắn câu trả lời "Có" đó với câu hỏi tiếng Trung.
- Tắt tiếng (Muted): Tính năng text-to-speech của Gemini bỏ qua các siêu liên kết ẩn sau văn bản có thể nhấp vào. Vì vậy, câu hỏi độc hại được chôn vùi trong một liên kết mà trợ lý ảo không bao giờ đọc to. Gemini nói: "Tôi xin lỗi, tôi gặp lỗi, bạn có đó không?" trong khi màn hình âm thầm hiển thị "Bạn có muốn mở cửa sổ không?". Người lái xe nói "Có", hệ thống kiểm tra nhìn thấy văn bản trên màn hình và các cửa sổ sẽ được mở.
Kết hợp cả hai—một lời nhắc xác thực bằng tiếng Trung ẩn bên trong một liên kết bị tắt tiếng—kẻ tấn công sẽ tạo ra một payload nghe giống như một cuộc trao đổi tiếng Anh bình thường trong khi vẫn vượt qua được các vòng kiểm tra mới nhất của Google.
Các tác động nguy hiểm
Sau khi vượt qua cổng xác thực, các tác động còn đi xa hơn cả nghiên cứu trước đó:
- Điều khiển nhà thông minh qua Google Home: bao gồm điều khiển cửa sổ, bình nóng lạnh và hệ thống chiếu sáng.
- Theo dõi và tải xuống: Mở các URL để xác định vị trí của nạn nhân qua IP hoặc ép điện thoại tải tệp xuống.
- Xâm nhập các ứng dụng khác: Trong bản demo, Yair đã thiết lập một tên miền trông có vẻ an toàn để chuyển hướng đến liên kết ứng dụng Zoom, và Gemini đã làm theo mà không cần hỏi lại, buộc điện thoại tham gia cuộc gọi và truyền phát video.
- Làm độc bộ nhớ (Memory poisoning): Fake Context Alignment mô phỏng sự đồng ý, vì vậy Gemini sẽ lưu lại một sự thật do kẻ tấn công chọn một cách lâu dài. Vì bộ nhớ này ở cấp độ tài khoản, thông tin độc hại sẽ theo nạn nhân bất cứ nơi nào họ sử dụng Gemini.
- Duy trì sự hiện diện (Persistence): Thông qua các hành động được lên lịch, chẳng hạn như tác vụ định kỳ đọc các tin nhắn gần đây của nạn nhân vào mỗi 8 giờ tối hàng ngày.
SafeBreach đã báo cáo phát hiện này cho Vulnerability Reward Program của Google vào ngày 17 tháng 8 năm 2025. Google đã xác nhận vào ngày 14 tháng 11 năm 2025 rằng các cải tiến về trình phân loại nội dung đã giảm thiểu được các cuộc tấn công qua thông báo và lỗi Delayed Tool Invocation.
Vì bản vá được thực hiện ở phía máy chủ, người dùng không cần phải cập nhật ứng dụng. Cách duy nhất để người dùng tự kiểm soát là quyết định xem Gemini có được phép đọc thông báo hay không bằng cách ngắt kết nối ứng dụng Utilities trong cài đặt Connected Apps của Gemini, hoặc tắt quyền "Notification read, reply & control" của ứng dụng Google trên Android.