Peneliti keamanan menemukan celah di fitur AI Google Gemini yang dapat digunakan untuk menyisipkan ringkasan email berbahaya. Eksploitasi ini berpotensi membantu pelaku phishing menipu pengguna dengan konten yang tampak sah.
Ringkasan
Fitur AI email summarization milik Google Gemini, yang secara otomatis merangkum isi email, diketahui dapat dimanipulasi oleh penyerang untuk menampilkan ringkasan yang menyesatkan atau palsu. Celah ini dapat dimanfaatkan untuk memperkuat serangan phishing dan rekayasa sosial, terutama bagi pengguna yang hanya membaca ringkasan tanpa membuka email lengkap.
Bagaimana Celah Ini Bekerja?
- Penyerang mengirimkan email yang berisi struktur HTML khusus
- Struktur tersebut mengarahkan model AI Gemini untuk membuat ringkasan yang tidak akurat atau bahkan menyembunyikan konten berbahaya
- Misalnya, email berisi tautan phishing bisa diringkas menjadi kalimat yang netral atau bahkan positif seperti:
“You’ve received a secure document. Click here to view.” - Ringkasan ini ditampilkan langsung di UI Gmail, sebelum pengguna membuka emailnya
Mengapa Ini Berbahaya?
- Mempercepat klik pada tautan phishing tanpa pemeriksaan isi email penuh
- Korban mungkin menganggap ringkasan AI sebagai validasi keamanan
- Teknik ini bisa digunakan untuk menyembunyikan penipuan finansial, malware, atau manipulasi data
Status dan Respons Google
- Peneliti keamanan yang menemukan bug ini telah melaporkannya ke Google
- Google menyatakan sedang menyelidiki masalah ini lebih lanjut, namun belum ada patch spesifik yang dirilis saat ini
- Disarankan agar pengguna tidak hanya mengandalkan ringkasan AI, dan selalu memeriksa isi lengkap email mencurigakan
Rekomendasi Keamanan
- Jangan pernah klik tautan hanya berdasarkan ringkasan email
- Matikan fitur summarization jika belum dibutuhkan
- Edukasikan pengguna dan staf perusahaan soal risiko AI-generated summaries
- Gunakan lapisan keamanan tambahan seperti email gateway, sandboxing, dan filtering eksternal
Siapa yang Berisiko?
- Pengguna Gmail yang mengaktifkan fitur AI summarization
- Perusahaan yang menggunakan Workspace dengan eksperimen Gemini
- Target phishing korporat, pemerintahan, dan sektor keuangan