هشدار امنیتی؛ آسیبپذیری Gemini امکان ارسال پیام از گوشی قفلشده اندروید را فراهم میکند
آسیبپذیری جدید Gemini در Android 16 به مهاجمان دارای دسترسی فیزیکی اجازه میدهد بدون وارد کردن PIN از گوشی قفلشده پیام ارسال کنند. جزئیات، راهکارهای موقت و تحلیل ۲۴ نیوز را بخوانید.
پژوهشگران امنیتی از شناسایی یک آسیبپذیری جدید در دستیار هوش مصنوعی Gemini گوگل خبر دادهاند که میتواند به افراد دارای دسترسی فیزیکی به برخی دستگاههای مجهز به Android 16 اجازه دهد بدون وارد کردن PIN یا رمز عبور، پیامک و پیامهای واتساپ ارسال کنند. گوگل اعلام کرده است وصله امنیتی این نقص در روزهای آینده منتشر خواهد شد.
آسیبپذیری Gemini چگونه عمل میکند؟
بر اساس گزارشی که The Register منتشر کرده است، این آسیبپذیری مکانیزم احراز هویت صفحه قفل (Lock Screen) در برخی دستگاههای مجهز به Android 16 را هدف قرار میدهد. در صورتی که قابلیت Gemini on Lock Screen فعال باشد، فردی که بهصورت فیزیکی به گوشی دسترسی پیدا کند، میتواند بدون وارد کردن رمز عبور، از طریق Gemini اقدام به ارسال پیامک یا حتی پیام در واتساپ کند.
این نقص امنیتی تنها زمانی قابل بهرهبرداری است که مهاجم به خود دستگاه دسترسی داشته باشد و امکان سوءاستفاده از راه دور وجود ندارد. با این حال، در سناریوهایی مانند سرقت تلفن همراه، جا گذاشتن دستگاه یا سپردن موقت آن به شخصی دیگر، این آسیبپذیری میتواند پیامدهای امنیتی قابلتوجهی ایجاد کند.
دور زدن احراز هویت با یک ترفند چندلمسی
بررسی پژوهشگران نشان میدهد این آسیبپذیری از یک توالی خاص از لمس همزمان (Multi-touch Gesture) سوءاستفاده میکند.
در حالت عادی، زمانی که Gemini برای ارسال پیام به مجوز دسترسی نیاز داشته باشد، سیستم از کاربر درخواست وارد کردن PIN میکند. اما محققان دریافتند اگر گزینهContinue و دکمه Add attachment بهصورت همزمان لمس شوند، فرآیند احراز هویت دور زده شده و پیام بدون نیاز به وارد کردن رمز ارسال میشود.
به گفته پژوهشگران، همین روش میتواند برای فعالسازی دسترسی Gemini به برنامههایی مانند WhatsApp نیز مورد استفاده قرار گیرد. مهاجم تنها با فراخوانی برنامه در پنجره گفتوگوی Gemini، قادر خواهد بود آن را به دستیار هوش مصنوعی متصل کند؛ تغییری که حتی پس از باز شدن قفل دستگاه نیز در تنظیمات باقی میماند.
سابقه تکرار آسیبپذیریهای Gemini
این نخستین بار نیست که قابلیتهای Gemini در صفحه قفل با مشکلات امنیتی روبهرو میشوند. از سال ۲۰۲۵ تاکنون چندین آسیبپذیری مشابه گزارش شده که امکان دور زدن برخی کنترلهای امنیتی اندروید را فراهم کردهاند.
در ماه مه ۲۰۲۶ نیز یکی از پژوهشگران امنیتی اعلام کرد این نقص را روی یک دستگاه Pixel 6a با آخرین بهروزرسانیهای امنیتی و از طریق قابلیت Deep Research بازتولید کرده است. این موضوع نشان میدهد که با وجود اصلاحات قبلی، همچنان مسیرهایی برای سوءاستفاده از قابلیتهای Gemini در صفحه قفل وجود دارد.
گوگل: وصله امنیتی بهزودی منتشر میشود
گوگل در گفتوگو با The Register تأیید کرده است که از این آسیبپذیری آگاه است و انتشار وصله امنیتی آن برای همین هفته برنامهریزی شده است.
این شرکت همچنین به کاربران توصیه کرده است تا پیش از دریافت بهروزرسانی، سطح دسترسی Gemini در صفحه قفل را محدود کنند تا احتمال سوءاستفاده از این نقص کاهش یابد.
تا زمان انتشار وصله چه اقدامی انجام دهیم؟
کاربران برای کاهش ریسک میتوانند اقدامات زیر را انجام دهند:
- وارد برنامه Gemini شوید.
- از طریق تصویر پروفایل، بخشSettings را باز کنید.
- گزینه Gemini on lock screen را انتخاب کنید.
- قابلیت Use Gemini without unlocking را غیرفعال کنید.
- در صورت نیاز، گزینهMake calls and send messages without unlocking را نیز غیرفعال کنید.
چرا این آسیبپذیری اهمیت دارد؟
اگرچه این نقص تنها با دسترسی فیزیکی به دستگاه قابل بهرهبرداری است، اما بار دیگر نشان میدهد گسترش قابلیتهای هوش مصنوعی در سیستمعاملها، سطح حمله (Attack Surface) جدیدی ایجاد کرده است.
هر ویژگی که امکان انجام عملیات حساس مانند ارسال پیام، برقراری تماس یا دسترسی به برنامهها را بدون باز کردن قفل دستگاه فراهم کند، باید با کنترلهای امنیتی بسیار دقیق محافظت شود. در غیر این صورت، قابلیتهایی که برای افزایش راحتی کاربران طراحی شدهاند، میتوانند به ابزاری برای دور زدن سازوکارهای امنیتی تبدیل شوند.
جمعبندی
آسیبپذیری جدید Gemini یادآور این نکته است که امنیت قابلیتهای مبتنی بر هوش مصنوعی باید همگام با توسعه آنها تقویت شود. تا زمان انتشار وصله رسمی گوگل، غیرفعال کردن دسترسی Gemini از صفحه قفل و نصب سریع بهروزرسانیهای امنیتی، مؤثرترین اقدام برای کاهش خطر سوءاستفاده از این نقص خواهد بود.
- منابع
The Register – Google's Gemini lets strangers send messages from your locked Android phone - Google Gemini Help – Gemini on your lock screen
- Graham Cluley – Google's Gemini lets strangers send messages from your locked Android phone
این گزارش بر اساس اطلاعات منتشرشده توسط منابع فوق تهیه و با تحلیل و بازنویسی اختصاصی ۲۴ نیوز منتشر شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
این آسیبپذیری بیش از آنکه یک باگ ساده در سیستمعامل اندروید باشد، نشانهای از چالشهای امنیتی نسل جدید دستیارهای هوش مصنوعی است. در سالهای اخیر رقابت شرکتهای فناوری بر سر افزایش قابلیتهای AI باعث شده این دستیارها به بخشهای حساستری از سیستمعامل دسترسی پیدا کنند؛ از ارسال پیام و برقراری تماس گرفته تا مدیریت برنامهها و تعامل با دادههای شخصی. هر قابلیت جدید، در کنار افزایش تجربه کاربری، یک سطح حمله جدید نیز ایجاد میکند که در صورت ضعف در طراحی امنیتی، میتواند به نقطه ورود مهاجمان تبدیل شود.
از منظر معماری امنیت، این رویداد اهمیت رویکردSecure by Design را بیش از پیش آشکار میکند. قابلیتهایی که روی صفحه قفل در دسترس قرار میگیرند، باید مستقل از منطق عملکرد هوش مصنوعی، همچنان تحت کنترل لایههای سختگیرانه احراز هویت سیستمعامل باشند. در غیر این صورت، مهاجم ممکن است نه از طریق شکستن رمز عبور، بلکه با سوءاستفاده از تعاملات رابط کاربری و منطق برنامه، محدودیتهای امنیتی را دور بزند.
برای سازمانها، بهویژه تیمهای SOC، مدیران امنیت اطلاعات و مسئولان مدیریت دستگاههای همراه (MDM)، این رویداد یادآور آن است که ارزیابی ریسک ابزارهای هوش مصنوعی نباید تنها بر تهدیدات از راه دور متمرکز باشد. دسترسی فیزیکی، سناریوهای سرقت دستگاه و سوءاستفاده از قابلیتهای AI نیز باید در فرآیند Threat Modeling و سیاستهای امنیت موبایل لحاظ شوند.
در نهایت، با گسترش هوش مصنوعی در سیستمعاملها، رقابت آینده دیگر صرفاً میان قابلیتهای بیشتر یا تجربه کاربری بهتر نخواهد بود؛ بلکه میان نوآوری و امنیت شکل خواهد گرفت. سازمانهایی که بتوانند این دو مؤلفه را بهصورت متوازن توسعه دهند، نقش مهمی در افزایش تابآوری سایبری و اعتماد کاربران در عصر دستیارهای هوشمند ایفا خواهند کرد.