Google công bố lỗ hổng bảo mật nghiêm trọng trên WhatsApp

WhatsApp hiện là nền tảng nhắn tin trực tuyến lớn nhất thế giới, với hệ sinh thái tính năng phong phú, giao diện không quảng cáo và được sử dụng rộng rãi không chỉ cho mục đích cá nhân mà còn trong công việc tại nhiều tổ chức. Tuy nhiên, chính mức độ phổ biến này cũng biến WhatsApp thành mục tiêu hấp dẫn đối với các cuộc tấn công bảo mật.

Mới đây, nhóm Google Project Zero đã công khai một lỗ hổng nghiêm trọng trên WhatsApp dành cho Android, sau khi Meta không khắc phục triệt để trong thời hạn 90 ngày theo quy trình chuẩn.

Theo mô tả của Brendon Tiszka, thành viên nhóm Project Zero, kẻ tấn công chỉ cần tạo một nhóm WhatsApp, sau đó thêm nạn nhân cùng một người quen của nạn nhân vào nhóm này. Tiếp theo, kẻ tấn công biến người quen đó thành quản trị viên nhóm và gửi một tệp đa phương tiện độc hại. Do thiết lập mặc định của WhatsApp, tệp này sẽ tự động được tải về thiết bị của nạn nhân mà không cần bất kỳ thao tác nào từ phía họ. Tệp media sau đó được lưu vào cơ sở dữ liệu MediaStore của Android, và nếu có khả năng vượt khỏi môi trường sandbox này, nó sẽ trở thành một hình thức khai thác cho phép tấn công người dùng hoàn toàn không cần tương tác.

Dù nghe có vẻ đáng lo ngại, lỗ hổng này vẫn tồn tại một số điều kiện hạn chế. Trước hết, kẻ tấn công phải biết hoặc đoán được số điện thoại của nạn nhân cũng như người quen của họ, điều không quá khó trong bối cảnh hiện nay nhưng vẫn là một rào cản nhất định. Ngoài ra, tệp đa phương tiện độc hại cần được thiết kế đủ tinh vi để có thể thực thi hành vi gây hại sau khi được tải xuống. Đáng chú ý, nếu người dùng bật tính năng Advanced Chat Privacy trên WhatsApp hoặc tắt chế độ tự động tải media, các tệp độc hại sẽ không được tải về một cách tự động, giúp giảm thiểu đáng kể rủi ro.

Google Project Zero cho biết họ đã báo cáo riêng lỗ hổng này cho Meta vào ngày 1/9/2025 và cho công ty 90 ngày để xử lý trước khi công khai. Tuy nhiên, đến ngày 30/11/2025, Meta vẫn chưa tung ra bản vá hoàn chỉnh, buộc Google phải công bố thông tin về lỗ hổng. Đến ngày 4/12, Tiszka xác nhận Meta đã triển khai một biện pháp khắc phục một phần ở phía máy chủ, nhưng giải pháp toàn diện vẫn đang được phát triển. Kể từ đó đến nay, ticket này chưa có thêm cập nhật mới, cho thấy lỗ hổng nhiều khả năng vẫn chưa được xử lý dứt điểm.

Theo Google Project Zero, lỗ hổng này chỉ ảnh hưởng đến WhatsApp trên Android . Người dùng iOS và các nền tảng khác hiện được cho là an toàn.

Để giảm rủi ro, người dùng Android nên:

- Bật Advanced chat privacy trong nhóm WhatsApp:

- Vào nhóm → nhấn dấu ba chấm → Group info → bật Advanced chat privacy .

- Tắt tự động tải media :

- Vào Settings → Storage and data → Media auto-download .

Đáng chú ý, Meta từng thừa nhận một lỗ hổng liên quan đến tệp đính kèm trên WhatsApp vào năm ngoái, cho thấy đây tiếp tục là một bề mặt tấn công hấp dẫn đối với các tác nhân độc hại trong thời gian gần đây.