Lỗ Hổng “zero-click” Nghiêm Trọng Trong Whatsapp (cve-2025-55177)
Trong bối cảnh các mối đe dọa an ninh mạng ngày càng tinh vi, một cảnh báo quan trọng về một lỗ hổng bảo mật nghiêm trọng (zero-day) trong ứng dụng WhatsApp, đang bị khai thác để tấn công người dùng thiết bị Apple. Lỗ hổng này, được theo dõi với mã CVE-2025-55177, liên quan đến việc xác thực không đầy đủ các thông điệp đồng bộ hóa thiết bị liên kết, cho phép kẻ tấn công kích hoạt xử lý nội dung từ các URL tùy ý trên thiết bị nạn nhân mà không cần tương tác từ người dùng (zero-click attack).
Tổng quan
Lỗ hổng CVE-2025-55177 trong WhatsApp đã được kết hợp (chained) với một lỗ hổng khác ở cấp độ hệ điều hành Apple, cụ thể là CVE-2025-43300 – một vấn đề ghi dữ liệu ngoài giới hạn (out-of-bounds write) trong framework ImageIO của iOS, iPadOS và macOS. Các cuộc tấn công này thường được thực hiện bởi phần mềm gián điệp (spyware) chuyên nghiệp, có thể cài đặt mã độc mà không cần nạn nhân click vào bất kỳ liên kết nào. Theo các báo cáo, lỗ hổng này đã ảnh hưởng đến cả người dùng iPhone và Android, nhưng tập trung chủ yếu vào thiết bị Apple do tính chất của lỗ hổng liên kết. Các tổ chức như Amnesty International đã phát hiện dấu hiệu của các cuộc tấn công spyware nghi ngờ, tương tự các trường hợp liên quan đến phần mềm gián điệp từ Paragon hoặc NSO Group.
Các cuộc tấn công này không phải là đại trà mà nhắm vào các cá nhân cụ thể, bao gồm nhà báo, nhà hoạt động nhân quyền và các thành viên xã hội dân sự – những người thường sử dụng WhatsApp để giao tiếp nhạy cảm. WhatsApp đã thông báo cho dưới 200 người dùng bị ảnh hưởng, nhưng rủi ro có thể mở rộng đến bất kỳ ai sử dụng phiên bản cũ của ứng dụng trên iOS hoặc macOS. Tác động tiềm ẩn bao gồm việc lộ thông tin cá nhân, theo dõi hoạt động, hoặc thậm chí kiểm soát thiết bị từ xa, dẫn đến rủi ro nghiêm trọng về quyền riêng tư và an ninh.
Khuyến nghị
Phía FPT Threat Intelligent khuyến nghị thực hiện các biện pháp cần thiết sau đây:
- WhatsApp: Cập nhật lên phiên bản iOS 2.25.21.73, WhatsApp Business iOS 2.25.21.78, hoặc WhatsApp cho Mac 2.25.21.78 (đã phát hành vào tháng 7 và 8/2025).
- Apple: Cập nhật hệ điều hành ngay lập tức lên iOS 18.6.2, iPadOS 18.6.2, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8, hoặc macOS Ventura 13.7.8 (phát hành ngày 20/8/2025).
Ngoài ra các biện pháp đảm bảo bổ sung như sau:
- Kiểm tra và cập nhật ứng dụng WhatsApp cũng như hệ điều hành thiết bị ngay lập tức qua App Store hoặc Settings.
- Bật tính năng cập nhật tự động để tránh các lỗ hổng tương tự trong tương lai.
- Tránh mở liên kết hoặc tệp từ nguồn không đáng tin cậy, và sử dụng các công cụ bảo mật bổ sung như antivirus hoặc VPN.
- Nếu nghi ngờ bị tấn công, liên hệ với WhatsApp qua phần hỗ trợ hoặc các tổ chức như Amnesty International để kiểm tra thiết bị.
Tham khảo
WhatsApp Zero-Day Exploited in Attacks Targeting Apple Users
| Bài viết độc quyền của chuyên gia FPT IS
Nguyễn Văn Trung – Trung tâm An toàn, bảo mật thông tin FPT |
